Можно ли запретить конкретному пользователю выполнять файлы в /usr/bin, не изменяя права доступа ко всем файлам на 750?
Если вы используете образ Docker PHP5 -apache , то описанное поведение, скорее всего, вызвано файлом настроек APT /etc/apt/preferences.d/no -debian -php. Содержимое которого, по-видимому, не позволяет APT рассматривать любые пакеты, связанные с PHP.
Образ Docker, который вы используете, содержит исходный код PHP, пакеты APT PHP здесь вам не помогут. Если вам нужно добавить расширения к PHP, установленному в образе докера, предполагается сборка из исходников с использованием вспомогательных скриптов, описанных в документации .
Что вы пытаетесь сделать? Запрет на использование стандартных команд системы для некоторых пользователей является просто невежливым поведением в крайней степени... команды, которые могут поставить систему под угрозу, находятся далеко между ними и были тщательно проверены с точки зрения безопасности. Разрешения на файлы должны остановить большинство попыток причинить вред.
- Подумайте о том, чтобы дать им оболочку с ограниченным доступом (проверьте руководства, она, вероятно, называется как-то так
rbash; осторожно,rshэто другой вид животных! ). Они довольно эффективно (сковывают пользователя, но будьте осторожны, можно вырваться!) - Если это псевдо -пользователь, отвечающий за владение какой-либо службой, общий выход — дать «пользователю» оболочку, которая ничего не делает, например,
/bin/true(проверьте руководство вашей системы на наличие рекомендаций в этой строке., для этого может быть специальная программа; если/bin/trueявляется сценарием оболочки , не используйте его для этого). Таким образом, если кому-то удастся войти в эту учетную запись, его сеанс будет немедленно завершен. - Снова создайте
chrootдля них (, есть способы вырваться )или использовать контейнеры Linux с тюрьмами BSD, чтобы ограничить их, и просто выставить именно то, что вы хотите, чтобы они видели. Максимальный контроль, но грязный в настройке и обновлении.