怎么样在电脑里禁止权限(如何限制他人操作自己的电脑？)

这段时间，小猪罗志祥正处于风口浪尖，具体是为啥？还不知道的小伙伴赶紧去补一下最近的娱乐圈八卦~简单来说，就是我们的小罗同事，以自己超强的体力，以及超强的时间管理能力，重新定义了「多人运动」的含义，重新刷新了大众对40岁男人的印象。

所以啊，像手机这种很有隐私性的产品，一定要设置好各种限制，否则就有可能引来这种尴尬的结果（咳咳，你得先有个女朋友）……

手机如此，电脑肯定也是如此，否则……你还记得陈冠希兄弟吗？

当然，玩笑归玩笑，不管是手机还是电脑，里面的数据都是非常珍贵的，一旦泄露，可能会引发很多不可预估的后果。

对于电脑而言，特别是公司的电脑，经常出现一台电脑多人使用的场景。如何保证里面数据的安全，限制其他人的电脑使用权呢？在Linux系统下，我们可以使用RestrictedShell来实现限制某个用户的使用权。

什么是RestrictedShell?

首先，让我先给大家澄清一下RestrictedShell的确切含义。它不是像Bash，KornShell等独立的Shell。如果你想将你使用的Shell变成rbash，可以在Shell启动的时候使用-restricted，-r选项，然后它就会成为RestrictedShell。

例如，可以使用bsh-r命令将BourneShell作为RestrictedShell启动，而使用ksh-r命令将kourshell作为RestrictedShell启动。

RestrictedShell将限制用户执行大多数命令，并且限制更改当前工作目录，具体有如下限制：

不允许执行cd命令，所以我们哪个目录也进不了，只能停留在当前工作目录中。不允许修改$PATH，$SHELL，$BASH_ENV或$ENV等环境变量的值。不允许执行包含/字符的程序。例如，我们不能运行/usr/bin/uname或./uname命令。但是，我们可以执行uname命令。换句话说，就是我们只能在当前路径里运行命令。也不允许使用>、>|、<>、>&、&>和>>重定向运算符重定向输出。也不允许我们在脚本中退出RestrictedShell模式。也不允许我们使用set+r或set+orestricted关闭RestrictedShell模式。通过使用RestrictedShell限制用户使用系统首先，从bash创建一个名为rbash的符号链接，如下所示。以下命令需以root用户身份运行。#ln-s/bin/bash/bin/rbash接下来，创建一个名为harry的用户，并指定默认Shell为rbash：#useraddharry-s/bin/rbash为新用户设置密码。#passwdharry在新用户的文件夹内创建一个bin目录。#mkdir/home/harry/bin现在，我们需要指定用户可以运行哪些命令。

在这里我选择让用户仅运行ls、mkdir、和ping命令。大家也可以自定义自己允许的命令。

为此，运行以下命令：

#ln-s/bin/ls/home/harry/bin/ls#ln-s/bin/mkdir/home/harry/bin/mkdir#ln-s/bin/ping/home/harry/bin/ping

现在大家就了解为什么我在前面的步骤中创建了bin目录。除以上三个命令外，用户无法运行其它任何命令。

接下来，让我们来阻止用户修改.bash_profile。

#chownroot/home/harry/.bash_profile

#chmod755/home/harry/.bash_profile

编辑/home/harry/.bash_profile文件：

#vi/home/harry/.bash_profile

修改PATH变量。

[...]PATH=$HOME/bin[...]

2020精选阿里/腾讯等一线大厂面试、简历、进阶、电子书私聊我回复「资料」免费获取

按ESC键，然后键入:wq以保存并关闭文件。

现在当用户登录时，RestrictedShell（rbash）将作为默认Shell运行，并读取.bash_profile，将PATH环境变量设置为$HOME/bin，这样用户只能运行ls，mkdir和ping命令。

RestrictedShell将不允许用户更改PATH，并且.bash_profile上的权限将不允许用户在下次登录以更改环境绕过限制。

确认新用户是否受限

现在，我们从root用户注销，然后以新创建的用户（即harry）的身份重新登陆。

我们现在运行一些命令，确认我们上面的修改是否生效。

例如我们要清除终端，运行以下命令：

$clear

终端将输出：

-rbash:clear:commandnotfound

好家伙，真的不行！那我们再试试看看能不能切换到其它目录。

$cd/root

终端输出：

-rbash:cd:restricted

依然受到限制！不灰心，再试一下，看看能不能使用>运算符重定向输出。

$cat>file.txt

终端输出：

-rbash:file.txt:restricted:cannotredirectoutput

看来其它的命令确实是没办法使用了。那我们上面设置的新用户可以使用的几个命令，是否真的可以使用？我们再来试试。

2020精选阿里/腾讯等一线大厂面试、简历、进阶、电子书私聊我回复「资料」免费获取

$ls$mkdirharry$ping-c3baidu.com

一切如我们所愿！现在除了这三个命令，新用户harry无法执行其它任何操作，完全在自己的掌控之下！

添加其它允许使用的命令

假如之前所设置的允许新用户使用的命令不够用了，那要如何再添加新的命令？我们可以先退出当前用户，然后再次登录到root用户，再按下述的方法添加新命令。

例如，允许新用户（harry）执行rm命令，就以root用户身份运行以下命令：

#ln-s/bin/rm/home/harry/bin/rm

现在用户就可以使用rm命令。同样的方法，你可以添加任何你允许新用户使用的命令，这样，新用户能使用的命令都由你说了算啦！

小结

我们可以通过简单几个步骤，就可以对一个新用户限制他的操作，使其在自己的家目录下玩耍，保证电脑数据的安全。当然，这种方式不是最保险的，最保险的方式还是要把数据多方保存并加密，这样就可以尽最大可能降低出事的概率。