我想知道我怎么能约束用户只能访问和具有RWX权限像目录/etc/httpd
,/etc/php
并且/var/www/html
还有自己的主目录。
我也希望能够限制该用户仅能启动/停止/重新启动apache服务。
我所能想到的只是chroot,但我只用一个目录就完成了。有任何想法吗?
被监禁的用户将无法原样访问这些文件夹。如果在文件系统上启用了acl,则可以创建普通用户并使用访问控制列表来控制对目录的访问。
要授予用户“ Bob”访问目录的权限,请创建一个组,将Bob放在该组中,然后递归地授予该组对/ etc / http /中所有现有和新创建的文件的访问权限:
# groupadd WebAccessGroup
# usermod -a -G WebAccessGroup Bob
# setfacl -Rm d:g:WebAccessGroup:rwx,g:WebAccessGroup:rwx /etc/httpd/
您还可以仅向用户“ Bob” wrx授予对/ etc / httpd的访问权限,而无需创建组:
# setfacl -Rm d:u:Bob:rwx,u:Bob:rwx /etc/httpd/
要允许WebAccessGroup组启动和停止Apache,可以授予该组sudo访问权限以运行您以root身份启动/停止Apache的特定脚本:
使用“ visudo”命令将以下内容添加到您的/ etc / sudoers文件中:
# visudo
%WebAccessGroup ALL=(root) NOEXEC: /usr/bin/httpd
然后Bob会使用sudo启动Apache:
$ sudo /usr/sbin/httpd -k start
**注意:如果您以非root用户(在本示例中为“ anotheruser”)在非标准端口上运行Apache,将All =(root)更改为All =(anotheruser)并运行开始会更安全,更好。像这样的命令:
sudo -u anotheruser /usr/sbin/httpd -k start
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句