Ограничьте пользовательский доступ в Linux
Можно видеть некоторые незначительные различия в использовании ресурсов от одного дистрибутива до другого при использовании того же рабочего стола, настроенного таким же образом, но это не должно быть значительно.
Другими словами, как Ulrich сказал, нет нет причины предпочесть ту другому с этой точки зрения!
Пользователи не имеют «эффективного корневого доступа» только потому, что они могут просматривать другие каталоги. Все пользователи с доступом к оболочке могут просматривать установку программного обеспечения - в конце концов, это не конфиденциальная информация, поскольку ее можно загрузить с любого количества сайтов. Если есть каталоги, которые вы не хотите открывать для всех пользователей оболочки, предоставьте им соответствующие ограничительные разрешения.
Если вы хотите иметь второй уровень безопасности, вы можете сделать учетные записи более ограниченными. Если вы хотите разрешить этим пользователям только просматривать, выгружать и скачивать файлы на /var/www/html/testuser.com , то не давайте им учетную запись оболочки, дайте им ограниченную учетную запись, которая может используйте только SFTP. Вы можете указать параметры для конкретной учетной записи в sshd_config с блоком Match . (Поместите это в конец файла, поскольку директива Match распространяется на следующую директиву Match или до конца файла.)
Match User testuser
Force-command internal-sftp
ChrootDirectory /var/www/html/testuser.com
Если вы хотите разрешить пользователи, чтобы использовать еще несколько команд, таких как scp и rsync, но не общий доступ к оболочке, используйте rssh или scponly в качестве оболочки для своей учетной записи, а также установите и настройте rssh или scponly для укажите, какие команды вы хотите разрешить (см. Нужна ли вам оболочка для SCP? ).
Если вы хотите предоставить учетную запись оболочки, которая позволяет запускать только несколько программ из белого списка, сделайте их оболочку оболочкой с ограниченным доступом . Обратите внимание, что эти пользователи смогут получать доступ к файлам за пределами своего домашнего каталога в зависимости от прав доступа к файлам.
Если вы хотите предоставить полный доступ к оболочке, но сделать все, кроме домашних каталогов, невидимым, тогда вам нужно создать некоторую форму jail . Самая слабая форма тюрьмы - это chroot jail , которая ограничивает пользователя ветвью дерева каталогов. Ограничить пользователя chroot также просто, указав ChrootDirectory в sshd_config ; однако, поскольку пользователь не может выйти из тюрьмы, каталог должен содержать все программы, которые пользователь будет использовать, и их данные. Вы можете использовать bind mounts , чтобы сделать некоторые каталоги (например, / usr ) видимыми внутри тюрьмы.
Вы можете изменить разрешения / var / www / html , чтобы только корнеп мог просматривать / изменить файлы / папки.
Как:
chown root:root /var/www/html