Ну, если вы хотите ограничить пользователя / home, ssh на самом деле не является правильным инструментом. Например, / bin / bash не находится в / home. Лучшим инструментом было бы что-то вроде NFS, sshfs, ftp и т. Д. (Мы могли бы обсудить, какой из них использовать).
Вы могли бы построить chroot в / home, но LXC - это ИМО, более современный tool.
Другим вариантом будет написать профиль apparmor. Это будет несколько похоже на chroot в том, что вам нужно будет указать, что пользователь будет иметь и не будет иметь доступа к профилю.
Что вы сделаете, это сделать ссылку на / bin / bash, Я назову это jailbash
sudo ln /bin/bash /usr/local/jailbash
Затем вы меняете учетную запись пользователей из bash на jailbash
sudo chsh
Теперь напишите профиль apparmor для jailbash:
Вот пример:
Это написано для Ubuntu 10.04, и вам нужно будет просмотреть обновление, но оно дает вы отправная точка.
Несколько раз после нечистой перезагрузки (например, нажатие кнопки потери мощности или сброса или даже паника ядра) система не загружается, попросив вас нажать «y» для fsck для восстановления раздела.
Если вы хотите этого избежать, отредактируйте / etc / default / rcS и измените:
FSCKFIX=no
To:
FSCKFIX=yes
Это обеспечит автоматический запуск этого ремонта без запроса.
Недостатком может быть то, что вы можете потерять данные, и вы можете извлечь жесткий диск и сначала клонировать его, если есть что-то критическое для него, которое не архивируется.
Например, если ваш контроллер жесткого диска имеет ошибку и fsck ложно идентифицировал раздел как сломанный и пытается его восстановить, это может привести к потере данных, которых в противном случае можно избежать. Я никогда не испытывал этого сам и занимался почти тысячами серверов за последние 7 лет или около того, но все же это то, о чем нужно помнить.
На сегодняшний день для решения только для чтения с киоском можно также установить пакет overlayroot с помощью
sudo apt-get install overlayroot
, который легко предоставит полное решение, такое как одобренный ответ. Он также позволяет использовать полезную команду
sudo overlay-chroot
, которая войдет в оболочку с прежним базовым диском только для чтения, установленным на /. Затем можно внести какие-либо изменения в защищенную систему, например, и использовать, например, apt-get для установки пакетов на прежний диск readonly. Однако после выхода из оболочки настоятельно рекомендуется перезагрузка, поскольку временные перезаписываемые файлы в ОЗУ могут скрывать вновь установленные.