「Linux」システムにログインしているユーザーがいる。これらのユーザーはsudo権限を持っていないかもしれないが、おそらくシステムディレクトリーツリーのほとんどを自由に閲覧できるはずだ。そうした状況は避けた方がいい。それはなぜか。それらのユーザーは、ほとんどの設定ファイルを編集できないかもしれないが、彼らに設定ファイルを閲覧されるのは決して望ましいことではないからだ。クライアントデータについても同じことが言える。そうしたデータはロックダウンした方がいい。
しかし、システム上のすべてのファイルとフォルダのアクセス許可を調整することなく(これをやると、さまざまなことを大幅に複雑化させてしまうおそれがある)、ユーザーがディレクトリー階層にアクセスできないようにするには、どうすればいいのだろうか。
1つの方法は、「Restricted Bash」(「rbash」)と呼ばれるツールを使用することだ。rbashを使用すれば、ユーザーが以下のことを実行するのを阻止できる。
- cdコマンドを使用する。
- $PATH、$SHELL、$BASH_ENV、$ENVの値を変更する。
- /を含むプログラムを実行する。
- >、>|、<>、>&、&>、>>を使用して出力をリダイレクトする。
- スクリプト内で制限モードから離脱する。
- 制限モードを解除する。
必要なもの
- 実行中のLinuxインスタンス。
- sudo権限を持つユーザー。
テストユーザーを作成する方法
システム上にテストユーザーを作成して、そのユーザーを「vega」と呼ぶことにしよう。そして、vegaのシェルをrbashにする。これは、以下のコマンドで実行可能だ。
sudo useradd -m vega -s /bin/rbash
次に、以下のコマンドで新しいユーザーにパスワードを割り当てる必要がある。
sudo passwd vega
プロンプトが表示されたら、新しいユーザーのパスワードを入力して確認する。
ディレクトリーを作成する方法
次に、新しいユーザー用のディレクトリーを作成する。このディレクトリーには、ユーザーが実行を許可されているコマンドだけが格納される。例えば、ユーザーがmkdir、ls、およびsshコマンドを実行することを許可したいとしよう。まず、以下のコマンドでディレクトリーを作成する。
sudo mkdir /home/vega/bin
