CentOS 能不能设定一个普通 ssh 账号不能乱逛，只困在一个目录内？

chroot

用 ALC 把这个帐号对 /下所有文件夹的 rwx 权限都去掉，/home 只留 x

chroot+rbash

@12101111 是 ACL 吧

没有 /usr/bin 这个目录的权限能跑 vi 吗？

这需求直接用 docker 不是首选吗？
开个端口搞定，在容器里随便 root 权限怎么搞，还可以灵活备份为镜像，换台机器无损迁移。

@cev2 完美，搞崩都无所谓

@cev2 哈哈哈，看到你这个头像就知道为什么无脑推 docker 了

# docker run -it 全世界都是你的

建议启动一个支持 ssh 的 docker，目前我们实验室就是这么做。

@Enya 哈哈哈，→_→应该是看到我明明用的是这个头像，竟然还给楼主推荐 docker，说明楼主的这个需求用 docker 实在是再适合不过。

@cev2 也有问题吧，lz 说的就是一些基础的文件操作，要是加上 root 权限，恶意把容器搞崩反倒难顶。要不然你就每个人开一个容器，自动配置也麻烦，内存也顶不住。另外他有 root 无限塞东西，不是分分钟把硬盘塞爆

用 docker 搞个蜜罐

@black11black docker 不一定给 root
恶意搞崩的话，只要给 bash 就可以 `:(){ :|:& };:` 了

绑定 ldap 企业级的权限

参考 ftp 只给一个目录权限

@black11black #12 你这么一描述岂不是更应该用 docker 了。
1，root 权限>容器内可给可不给，不影响容器外文件的用户组配置。
2，恶意把容器搞崩>分享前把容器保存下快照，搞崩后快照恢复一下秒解决。
3，内存、配置麻烦问题>同 2，保存时改为保存镜像，此镜像每重新运行多次即可新建多个相同分享。CentOS+busybox+bash+openssh，100MiB 内存够够的。
4，无限塞东西>只要有普通写文件权限就可以把硬盘塞爆，但恰恰 docker 可以对容器占用的 CPU、内存、硬盘进行限制。
完美的一批~

ps：通过 snap 安装 docker 并普通用户运行，容器内给 root 权限。小朋友使用中发现了 docker 的漏洞，进行容器逃逸，逃逸成功后发现自己在 snap 的沙盒环境内，于是苦心钻研 snap 的漏洞，沙盒逃逸后发现自己获得了宿主机的普通用户权限。安全问题就是这么美滋滋

chroot ?

@cev2 小白问下：docker 如何对容器占用的硬盘空间大小进行限制？

@mio101
方法 1：通过 devicemapper （默认是 Overlay2 ）作为 docker 的 storage drivers，最小限制为 10GiB。#!转换 storage drivers
需要备份已有的容器，因为会清空当前镜像。不同容器仅能限制相同大小，不过生产环境这需求也不大。
方法 2：通过 Overlay2+XFS 作为 docker 的 storage drivers，每个容器可限制不同大小。
ps：又不是卖 VPS，反正 docker 的文件是 COW，谁闲的去限制大小，卖 VPS 还是 OpenVZ 和 KVM 更香。