如何限制用户对某些文件夹的SSH访问

Question

目前，我们正在开发的项目有一位自由前端开发人员参与其中。正如我们在寻找一种方法来限制他访问我们的服务器和文件之前我们从未使用过他，同时让他修改当前这些服务器上的视图文件。

当前项目（全部在一台服务器上）被划分为6个独立的小型站点，全部使用MVC结构。

例如

• 微型站点1个 - 模型 - 查看 - 控制器

• 迷你网站2个 - 模型 - 查看 - 控制器

等

我们需要限制他的访问t o每个项目的每个视图文件夹，但没有别的。

我们正在使用Amazon EC2并且正在使用IP范围有限的安全组。我们无法允许他使用FTP，因为这给我们带来了更多潜在的问题。

此外，我们已经看过文件和组的权限，但我们有这个服务器上的数千个文件。

有关如何以尽可能小的占用空间实现这一点的任何想法，所以一旦他离开，我们可以删除他的访问权限并恢复设置等。

Answer 1

您可以使用chmod。我假设您的普通用户可以随意修改和修改文件？或者他们是以组为基础的？以下是您可以从中选择的两种方法。

方法1：

如果你的正常的员工/用户可以使用sudo，可以CHOWN所有的文件夹，以便它们的所有者是root和一个新的组做乔敦 - R的根称为程序员：程序员的/ var/www/dir /这将使dir和其中的所有内容由root和组程序员拥有。然后你会做chown -R 744/var/www/dir /。这将使得root用户对dir及其中的所有文件夹（即7）具有R/W/X权限，程序员组中的用户将具有只读权限（4），并且所有其他用户拥有只读权限（最后4个）。

从那里你会经历和你希望他有权访问你的目录会做：chown -R 774/var/www/dir/front-end/views /这将给根和所有用户程序员分组完整的R/W/X权限。如果你想按文件做，你可以做chown 774 /var/www/dir/front-end/views/index.html

对于所有其他用户，如果他们想修改一个文件（让我们说他们正在使用vim），他们需要做sudo vim /var/www/dir/front-end/views/index.html。这会让他们伪装成root，并且无论其他权限如何（这是三位数八进制中的最后四位）都可以编辑。

方法2

如果他们组根据你可以把和root拥有的所有文件的组员工（假设普通用户是组）。然后，对于你想让他编辑的文件（让用户说他的用户名是frontdev），你可以做chown -R frontdev：employees/var/www/dir/front-end/views /，然后将该目录chmod改为774。 ..你可以为个人文件做同样的事情。这样，员工组中的所有员工（包括您）都拥有完全的权限。 Root将拥有所有文件和目录的权限......然后您可以将其用户指定为一次性用户，以控制您需要他访问的文件/目录。

您还可以查看jailing的用户只有授权的目录。 Jailkit是一个很大的。这里是一个很好的教程：https://askubuntu.com/questions/93411/simple-easy-way-to-jail-users