На основной вопрос несколько раз отвечали, но вторичное устройство не имеет. SSH запрашивает пароль после ввода корня после того, как он будет отключен как средство защиты. Это также инициирует, при попытке войти в систему как lkjfiejlksji.
Это должно препятствовать тому, чтобы кто-то тестировал груду имен пользователей, попытался узнать, которые допустимы в Вашей системе. Однако с точки зрения безопасности, если Вы отключили корень по SSH, я также настроил программу обнаружения "в лоб" (как fail2ban) и установил его так, чтобы, если кто-то даже пытается войти в систему как корень, он заблокировал их от попытки любых дополнительных нападений.
В итоге я создал / mnt / read /
и / mnt / write /
и сделал несколько подключений к папкам Я хотел, чтобы под ними были чтение
и запись
с соответствующими разрешениями.
Я не уверен, насколько это эффективно, но это не очень загруженный ресурс, поэтому я думаю, что это работает довольно хорошо.
вы можете использовать acl? вы можете man setfacl для подробностей. это позволяет вам указать, что каждый пользователь или группа может получить доступ к какому каталогу / файлу с каким разрешением.
если эта команда не существует, вы можете установить ее из репозиториев. Если ваша файловая система действительно не старая, следует поддерживать acl. Однако в некоторых случаях вам может потребоваться указать поддержку acl при монтировании.
Предполагая, что вы можете chroot пользователей, вы можете подключить общий ресурс несколько раз, по одному разу для каждого пользователя chroot. Для пользователей с доступом только для чтения смонтируйте общий ресурс с помощью -o ro
. Если невозможно смонтировать одну и ту же общую папку несколько раз, вы должны иметь возможность использовать привязку, но с оговоркой, обсуждаемой на http://lwn.net/Articles/281157/