如何在 web terminal 中限制用户的一些行为？

資深大佬 : zhoudaiyu 12

我们的容器平台有个在 web 端进入到 pod 里的功能，其实跟在阿里云 web 页面连虚拟机一个意思。现在想禁止一些危险的操作，比如 mv rm cp sh bash 等，我的思路是连 pod 时，直接 alias 禁止一些危险操作，后来发现可以通过使用绝对路径绕过去，比如 /use/bin/rm xxx 这样就可以绕过 alias rm=“echo denied”。最好这种限制对容器没有侵入，比如不要改 /etc/profile 或者.bash_profile 等，而且最好退出容器这个限制就消失，不要影响别的用户。大家有啥思路？

大佬有話說 (14)

資深大佬 : visitant

为什么不每个用户起个新的容器

資深大佬 : ipwx

每个用户新的容器。。？

主資深大佬 : zhoudaiyu

@visitant
@ipwx 资源浪费啊有时候就是去容器里看日志

資深大佬 : ipwx

setuid setgid? 好像这俩 posix 调用可以从 root 进程降权。

資深大佬 : aapeli

定制一个 shell

主資深大佬 : zhoudaiyu

@ipwx 进去的时候是就是普通用户，但是还是能乱搞出一些问题，虽然说容器可以随时销毁重建吧，但是也是有可能搞事情

主資深大佬 : zhoudaiyu

@aapeli 是有这样的想法，但是涉及到改造有些麻烦

資深大佬 : dingwen07

破坏的骚操作可多了比如限制了删除那就重定向覆盖
所以可以试试看从保护文件入手限制权限和配置 ACL 之类的而不只是阻止用户

主資深大佬 : zhoudaiyu

@dingwen07 确实要玩骚的太难防了 TAT，太灵活了主要是

資深大佬 : abowloflrf

一个思路，进入容器不直接在那个容器里启 shell 进程，而是在同一节点新启动一个容器然后指定要 attach 到目标容器的哪些 namespace，还可以另外指定运行 user 等，达到一些隔离或者权限限制的目的。当然还要看你具体需求，进入容器的需求和具体限制什么操作。

資深大佬 : tolerance

搞个不存在危险指令的容器（容器里把 mv 、rm 、cp 这些删除），用户登录启动这个容器

資深大佬 : rmb1222

只要是正常的 shell 都无解就算你把 bin 下的文件全删了 echo 一个 busybox 就能直接复活。。。

資深大佬 : zmxnv123

构建一个没有这些执行文件的镜像？

資深大佬 : melkor

@zhoudaiyu 如果只是看日志，那就提供看日志的页面好了