ユーザーはsudoなしで何ができますか?
サーバーを設定していますが、ユーザーが自分のファイルにのみアクセスできるようにします。通常のadduserコマンドを実行します。
Sudo adduser username
そして、ユーザーにパスワードを与えます。次に、sshを使用してログインし、/および他のユーザーのホームフォルダーにcdできることを確認します。私は〜/の外側以外への書き込みアクセス権を持っていないようですが、Sudoグループに追加せずに新しいユーザーがどのような損害を与えるかを正確に考えていましたか?
もっと注意を払い、ユーザーをさらにロックダウンする必要がありますか?
原則として、その方法で作成されたユーザーは、自分のホームディレクトリ以外では損害を与えることはできません。お気づきのとおり、通常のユーザーはさまざまなディレクトリにアクセスできます(例:/、/usr/、/tmp)。ほとんどのユーザーがアクセス可能なプログラムは/usr/binおよび/binにあるため、これは必要です。ユーザーがこれらのディレクトリへの(読み取り専用)アクセス権を持っていなかった場合、ユーザーはプログラムを実行できません。ただし、通常のユーザーは他のユーザーのホームディレクトリにアクセスできません。
ls -lコマンドを使用して、ファイルまたはディレクトリの権限を確認できます。ファイル許可の詳細については、 https://help.ubuntu.com/community/FilePermissions を参照してください。
Sshユーザーを少数のプログラムのみに制限することが可能です。 http://www.pizzashack.org/rssh/ および http://www.cyberciti.biz/tips/linux-unix-restrict-Shell-access-with-を参照してくださいrssh.html rsshツールの場合、scpやrsyncなどのコピーツールのみを実行するようにユーザーを制限します。このようなユーザーは通常ログインしてシェルを取得したり、他のコマンドを実行したりすることはできません。
別のオプションは、「chroot」または「jail」環境を作成することです。 このAskUbuntuの質問 を参照してください。