На этот вопрос уже есть ответ:
Мне нужно запретить / ограничить доступ стандартных пользователей к каталогам, таким как bin, boot, dev и т. Д., Lib, media?
Вы не можете на самом деле ограничивать пользователей этими каталогами, так как им нужен доступ к библиотекам и двоичным файлам, например / bin / bash.
ИМО у вас есть два способа ограничить доступ пользователей.
Первый со стандартными разрешениями. В целом, однако, очень плохо начинать использовать chown
и chmod
для системных файлов, так как вы, вероятно, сломаете Ubuntu и вам потребуется переустановить. IMO chown и chmod должны использовать только файлы в вашем домашнем каталоге или общих каталогах, но не системные каталоги / bin или / lib
. Причина в том, что всем пользователям потребуется доступ к двоичным файлам и библиотекам, таким как [ 112]
Если вам нужно ограничить использование сверх стандартных разрешений, используйте apparmor.
Простой способ использования apparmor - использовать гостевую учетную запись. Если вам нужно ограничение, превышающее это, вам придется написать собственный профиль в качестве шаблона, используйте этот шаблон:
http://ubuntuforums.org/showpost.php?p=9799756&postcount= 5
Вы должны иметь четкое представление о системных файлах и о том, что вам нужно разрешить и ограничить.
В качестве альтернативы вы можете использовать такие инструменты, как LXC или chroot jails, но, IMO, они не проще в настройке, требуют немного большего обслуживания и менее безопасны (трудно вырваться из Apparmor, легче вырваться) тюрьмы).
Если из терминала CTRL kbd> + ALT kbd> + T kbd> вы введете следующую команду
ls -la /
Вы должны увидеть что-то вроде этого
warren@min:~$ ls -la /
total 84
drwxr-xr-x 22 root root 4096 Jun 20 16:13 .
drwxr-xr-x 22 root root 4096 Jun 20 16:13 ..
drwxr-xr-x 2 root root 4096 Jun 20 15:58 bin
drwxr-xr-x 3 root root 4096 Jun 20 16:15 boot
drwxr-xr-x 15 root root 4080 Jul 4 09:12 dev
drwxr-xr-x 120 root root 4096 Jul 4 09:38 etc
drwxr-xr-x 3 root root 4096 Mar 20 14:50 home
lrwxrwxrwx 1 root root 37 Jun 20 16:13 initrd.img -> /boot/initrd.img-3.2.0-48-generic-pae
lrwxrwxrwx 1 root root 37 Jun 3 13:51 initrd.img.old -> /boot/initrd.img-3.2.0-45-generic-pae
Список сокращен
Это показывает, что все каталоги уже ограничены. Давайте возьмем пример.
drwxr-xr-x 2 root root 4096 Jun 20 15:58 bin
Первый бит drwxr-xr-x
описывает права доступа, затем у нас есть владелец root
, затем группа root
, размер, время, дата и, наконец, имя.
Разрешения drwxr-xr-x
могут быть далее разделены на 4 секции
Первый символ d
в этом случае говорит, что это каталог, но вы также увидите l
для ссылки и -
для нормальный файл.
Следующие 3 символа rwx
в этом случае являются разрешениями для владельца. В этом случае у нас есть r
, владелец может прочитать файл или каталог w
записать и x
выполнить.
Следующие три для членов группы в этом случае r-x
указывает, что люди, которые находятся в группе root
, но не являются пользователем root
, могут читать и выполнять, но не писать.
Последние три символа предназначены для всех остальных, в этом случае r-x
предоставляет всем доступ на чтение и выполнение, но не на запись.
В случае каталога d
введите привилегию выполнения, что означает, что вы можете войти в каталог. Для обычного типа файла -
или ссылки l
это означает, что он может быть запущен как программа.
Для каталогов, которые вы спрашиваете о обычных пользователях, уже разрешено читать и выполнять.
Если вы хотите изменить эти разрешения, вы можете использовать команду chmod
, как описано здесь , или сделать это графически, запустив nautilus от имени пользователя root gksudo nautilus
Но как bodi.zazen Не рекомендуется для системных каталогов и файлов.