Linux 有办法开一个用户，但是只允许它查看制定的目录吗 ，不能看其他目录 连 cd ls 其他目录 都禁止

不被允许的目录通过 acl 去掉权限？这个方式我不确定行不行

好像可以用 smb 分享时候给这个用户设置共享文件夹权限

不如开个 smb/ftp 用户，连指定访问的真实路径都隐了

how about sftp server stand alone, such as sftpgo

vi /etc/ssh/sshd_config 添加 Match User user1 ChrootDirectory /dir/

要不弄个 docker 开个 ssh 给他连吧

怎么叫查看…用 tree 命令列一下目录、渲染成图片，再把图传给用户，行不行

sudoers 文件来限制用户对其他命令的访问？

这不就是 linux 的级别操作吗

级别 ==》 基本

基本默认的目录权限都是 755 ，也就是其他用户都能访问的。如果要改掉全部的代价有点大。开个 docker 或者 kvm 给他用，映射几个端口出来，更合适

我之前记得学渗透的时候有的靶机上会设置这些东西，不过忘了具体怎么配置的了

要么使用 docker, 要么手动撸代码实现一个类似的 docker

还不如开个 webdav ，想要那个目录给他指定就好了

SELinux AppArmor 应该可以实现,但是我没用过.

弄个 rootless 的容器，把目录挂载到容器内。容器开一个 sshd 。

可以用 bubblewrap 开个空白容器：

bwrap --unshare-all --dev /dev --proc /proc --tmpfs /tmp --tmpfs /var/tmp --ro-bind-try /usr/bin /usr/bin --ro-bind-try /lib /lib --ro-bind-try /lib32 /lib32 --ro-bind-try /lib64 /lib64 --tmpfs /home --bind /mnt env -i bash

上条命令有错误：

bwrap --unshare-all --dev /dev --proc /proc --tmpfs /tmp --tmpfs /var/tmp --ro-bind-try /usr/bin /usr/bin --ro-bind-try /lib /lib --ro-bind-try /lib32 /lib32 --ro-bind-try /lib64 /lib64 --tmpfs /home --bind-try "需要共享的目录" /mnt env -i bash

可定制化程度很高，但对涉及到 GUI 或 DBUS 的应用的隔离很麻烦。

容器化，挂载一个目录到容器里

目录的话，没有 x 权限就不能访问了啊