限制用户登录shell访问bash的核心是通过修改默认shell或配置来控制用户权限；2. 最常用方法是使用usermod命令将用户shell设为/nologin、/false或/rbash；3. /nologin和/false可阻止交互式登录，适用于无需shell的服务账户；4. rbash提供受限环境，禁止cd、修改path、重定向等操作，但存在逃逸风险；5. 自定义shell脚本可实现命令白名单、菜单式交互和操作日志，灵活性高；6. chroot jail能隔离文件系统，增强安全性，但配置复杂；7. 注意事项包括防范rbash逃逸（如通过vi、python等程序）、严格控制path、移除危险命令、锁定配置文件、管理sudo权限；8. 实施前需与用户沟通并全面测试，确保安全与可用性平衡，持续审计更新策略以保障系统安全。

限制用户登录shell访问bash，说白了，就是为了控制用户在系统里能干什么，不能干什么。这事儿，通常是为了安全、合规，或者就是想让某个账户只能干点儿特定的活儿，别瞎折腾。核心思想就是修改用户的默认登录shell，或者通过配置让bash自身变得“不那么自由”。

最直接的办法，就是改掉用户默认的shell。你可以把它设成一个完全不允许交互登录的程序，比如

/usr/sbin/nologin

rbash

修改用户默认Shell

这是最基础也最常用的方法。

1. 使用

   usermod

   登录后复制
   命令： 这是最推荐的方式，因为它会安全地更新

   /etc/passwd

   登录后复制
   文件。 比如，你想让用户

   testuser

   登录后复制
   登录后什么也干不了，直接就退出：

   sudo usermod -s /usr/sbin/nologin testuser

   登录后复制

   或者，如果你想让用户登录后直接退出，甚至不显示任何消息，可以用

   /bin/false

   登录后复制
   ：

   sudo usermod -s /bin/false testuser

   登录后复制

   如果你想限制用户只能使用

   rbash

   登录后复制
   （受限的bash）：

   sudo usermod -s /bin/rbash testuser

   登录后复制

   更改后，

   testuser

   登录后复制
   下次登录时，就会使用你指定的shell。

2. 直接编辑

   /etc/passwd

   登录后复制
   文件（不推荐，但了解原理）： 每个用户账户在

   /etc/passwd

   登录后复制
   文件中都有一行记录，格式大致是：

   用户名:密码占位符:UID:GID:用户信息:家目录:默认Shell

   登录后复制
   比如：

   testuser:x:1001:1001:Test User,,,:/home/testuser:/bin/bash

   登录后复制
   要修改

   testuser

   登录后复制
   的默认shell，你需要用

   sudo vi /etc/passwd

   登录后复制
   打开文件，然后把最后一项

   /bin/bash

   登录后复制
   改成你想要的，比如

   /usr/sbin/nologin

   登录后复制
   或

   /bin/rbash

   登录后复制
   。 注意： 直接编辑系统文件风险很高，一个小错误就可能导致系统问题。除非你非常清楚自己在做什么，否则请始终使用

   usermod

   登录后复制
   。

为什么我们需要限制用户登录Shell访问？

这听起来有点像“不信任”，但更多的是一种“最小权限原则”的实践。想象一下，如果一个服务账户（比如数据库账户、Web服务器账户）被攻破了，你肯定不希望攻击者能用它在系统里随便敲命令，对吧？限制了shell，就相当于给这个账户套了个紧箍咒，它只能在划定的圈子里跳舞，大大降低了潜在的破坏力。

具体来说，限制访问有几个明显的好处：

Felvin

AI无代码市场，只需一个提示快速构建应用程序

161

查看详情

• 增强安全性： 这是最主要的理由。减少了攻击面。如果用户只能执行特定命令或根本无法交互式登录，即使账户密码泄露，攻击者也难以利用它进行更深层次的系统渗透或横向移动。
• 满足合规性要求： 某些行业或企业的安全标准和合规性要求，可能明确规定需要对特定用户或服务账户进行严格的权限控制。
• 简化操作与防止误操作： 对于那些只需要完成特定任务（比如SFTP文件传输）的用户，给他们一个全功能的bash环境，反而增加了误操作的风险。限制他们只能做必要的事情，能有效避免不必要的麻烦。
• 提高系统稳定性： 限制了用户可以执行的操作，自然也就减少了他们意外破坏系统配置或服务的可能性。

有哪些实用的方法来限制用户的Shell？

具体怎么搞？方法还挺多的，每种都有它的适用场景和局限性。

1. /usr/sbin/nologin

   登录后复制
   或

   /bin/false

   登录后复制
   ： 这是最简单粗暴的方法。把用户的shell设置为这两个程序中的一个，用户就无法通过SSH、终端等方式进行交互式登录了。

   • /usr/sbin/nologin

     登录后复制
     ：当用户尝试登录时，会显示一条消息（通常是“This account is currently not available.”），然后立即退出。

   • /bin/false

     登录后复制
     ：更直接，用户登录后什么也不显示，直接退出。 这两种方法常用于服务账户，或者那些只通过特定协议（如SFTP）访问的用户。比如，你有一个SFTP用户，他只需要上传下载文件，完全不需要登录shell执行命令，那么设置

     nologin

     登录后复制
     就非常合适。

2. rbash

   登录后复制
   (受限Bash)：

   rbash

   登录后复制
   是bash的一个特殊版本，它在启动时就带有内置的限制。当用户使用

   rbash

   登录后复制
   作为shell时，会遇到以下限制：
   • 不能使用

     cd

     登录后复制
     命令改变当前目录。
   • 不能修改

     PATH

     登录后复制
     环境变量。
   • 不能指定包含斜杠

     /

     登录后复制
     的命令名称（意味着只能执行

     PATH

     登录后复制
     中定义的命令，且不能指定绝对路径）。
   • 不能重定向输出（

     >

     登录后复制
     、

     >>

     登录后复制
     、

     <

     登录后复制
     ）。
   • 不能执行

     exec

     登录后复制
     命令来替换当前shell。
   • 不能加载shell函数。 要使用

     rbash

     登录后复制
     ，你需要确保系统上有

     /bin/rbash

     登录后复制
     这个可执行文件（通常是

     /bin/bash

     登录后复制
     的一个硬链接或符号链接）。

     sudo usermod -s /bin/rbash testuser

     登录后复制

     rbash

     登录后复制
     的限制看起来很严格，但它并不是绝对安全的，后面我们会提到它的局限性。

3. 自定义Shell脚本： 这是最灵活也最强大的方法。你可以编写一个shell脚本，并将其设置为用户的登录shell。这个脚本可以：

   • 只允许执行预定义白名单中的命令。
   • 提供一个菜单，让用户选择执行哪些被允许的操作。
   • 记录用户尝试执行的所有命令。
   • 设置一个非常严格的

     PATH

     登录后复制
     环境变量。 例如，创建一个

     ~/restricted_shell.sh

     登录后复制
     ：

     #!/bin/bash
     # 这是一个非常简化的示例，实际使用需要更严谨的错误处理和命令解析

     登录后复制

   清除并设置一个非常有限的PATH

   export PATH="/usr/bin:/bin"

   echo "欢迎使用受限环境！" echo "您只能执行 'ls' 和 'pwd' 命令。"

   while true; do read -p "$ " cmd args case "$cmd" in "ls") /bin/ls $args ;; "pwd") /bin/pwd ;; "exit") echo "再见！" exit 0 ;; *) echo "不允许执行 '$cmd' 命令。" ;; esac done

   然后给脚本执行权限，并设置为用户的shell：
   ```bash
   chmod +x ~/restricted_shell.sh
   sudo usermod -s /home/testuser/restricted_shell.sh testuser

   登录后复制

   这种方式需要你对shell脚本编程有一定了解，但它能提供最精细的控制。

4. Chroot Jail (Chroot 监狱)： 虽然不是直接限制shell，但

   chroot

   登录后复制
   可以创建一个隔离的文件系统环境。用户的shell和所有可执行程序都运行在这个“监狱”里，无法访问外部文件系统。这是一种非常强大的安全隔离机制，但设置和维护相对复杂，需要把所有依赖的库文件、命令等都复制到chroot环境中。常用于SFTP服务器或一些特定的应用程序环境。

限制Shell时常见的陷阱和注意事项

别以为设了个

rbash

1. rbash

   登录后复制
   的逃逸方法：

   rbash

   登录后复制
   虽然受限，但它并非“牢不可破”。很多看起来无害的命令，比如

   vi

   登录后复制
   、

   find

   登录后复制
   、

   less

   登录后复制
   、

   more

   登录后复制
   、

   awk

   登录后复制
   、

   perl

   登录后复制
   、

   python

   登录后复制
   、

   man

   登录后复制
   等，都可能成为用户逃逸限制的“后门”。这些程序通常允许用户执行外部命令或调用shell，如果它们在

   rbash

   登录后复制
   用户的

   PATH

   登录后复制
   中并且可以执行，用户就可能绕过

   rbash

   登录后复制
   的限制。 例如，如果用户能运行

   vi

   登录后复制
   ，他可能在

   vi

   登录后复制
   里输入

   :!/bin/bash

   登录后复制
   来启动一个新的、不受限的bash。 所以，光改个shell可不够，还得从环境、权限、可执行程序等多方面一起考虑：
   • 严格控制

     PATH

     登录后复制
     ： 确保

     rbash

     登录后复制
     用户的

     PATH

     登录后复制
     只包含极少数必要的、且经过安全审计的命令。
   • 移除危险程序： 最好把那些可能导致shell逃逸的程序从

     rbash

     登录后复制
     用户的

     PATH

     登录后复制
     中移除，或者直接从系统上删除（如果不需要）。
   • 限制写入权限： 确保用户不能修改自己的

     ~/.bashrc

     登录后复制
     、

     ~/.profile

     登录后复制
     等文件，因为这些文件在shell启动时会被执行，可能被用来注入恶意命令。

2. 环境变量和别名： 即使shell本身受限，如果用户可以修改环境变量（如

   IFS

   登录后复制
   、

   LD_PRELOAD

   登录后复制
   ）或者设置危险的别名，也可能找到突破口。务必锁定用户的shell配置文件。

3. sudo

   登录后复制
   和

   su

   登录后复制
   ： Shell限制只针对用户的默认登录shell。如果用户有

   sudo

   登录后复制
   权限，或者知道其他用户的密码可以

   su

   登录后复制
   到其他账户，那么这些限制就形同虚设了。因此，权限管理是整体安全策略中不可或缺的一部分。

4. 用户体验与沟通： 过度严格的限制可能会让合法用户感到沮丧。在实施限制之前，与用户进行充分沟通，解释这样做的原因，并确保他们能够完成自己的工作，这一点非常重要。有时候，安全和便利性之间需要一个平衡点。

5. 全面测试： 任何安全措施在部署之前都必须经过彻底的测试。以被限制用户的身份登录，尝试所有可能的逃逸方法，确保限制如预期般工作，并且没有意外的副作用。

限制用户shell访问是一个多层次的安全实践，需要综合考虑技术细节、用户需求和潜在风险。没有一劳永逸的解决方案，持续的审计和更新是必不可少的。

以上就是如何设置用户登录shell 限制bash访问方法的详细内容，更多请关注php中文网其它相关文章！