Я хотел бы предоставить созданному пользователю новый домашний каталог, и он сможет получить доступ только к этому определенному домашнему каталогу, однако каталог, которым является пользователь Предполагаемый доступ уже создан и имеет множество подкаталогов. Я знаю, что это возможно, если я ограничу все, кроме каталога, к которому пользователь должен получить доступ, это может сработать, но я подумал, что может быть более простой способ.
Если этот вопрос задавался раньше или объяснялся где-то еще, я не смог его найти.
Спасибо за любую помощь.
Самый простой способ добиться этого - использовать что-то вроде docker-cmd
, которое создает инкапсулированную тюрьму для каждого пользователя.
См .: https: //github.com/clevcode/docker-cmd
Вы, безусловно, можете что-то сделать с SELinux и пространствами имен, но это потребует значительно больше работы.
Короче говоря, то, что вы пытаетесь, невозможно, если вы не используете chroot
или любые контейнеры для отделения пользовательской среды от вашего хоста.
Если вы ограничите доступ пользователя только его домашним каталогом, пользователь не сможет войти в систему, так как не можно выполнить любую команду или создать файлы в / tmp , которые приложения полагаются на возможность записи.