有些时候,我们不得不和别人共用一个 Linux 账户,比如某些学校的超算平台,这时候大家的配置都混作一团,特别是碰到不太熟悉 Linux 的可能就乱改全局配置,就很麻烦。然后权限又受到限制,不能安装 docker 之类的东西进行隔离。其实有一个非常轻量的办法,就是在 SSH 登录时改变家目录。(每次都手动改也可以的,那就不用看这篇了,其实主要是个人习惯用 Visual Studio Code ,必须要在连接 vscode-server 之前把家目录切过来。)
之前一直没有尝试这个,是因为担心这种改法太轻量,不知道会不会有隐藏的问题。不过目前看起来多数应用都没啥问题。(文章最后还有一个更激进的办法,就是直接 unshare 把家目录挂载成自己的,保证完全不会访问原本家目录的任何东西。)
注意,下述步骤是高度定制化的,你可能需要理解每一步在做什么,而不能简单复制命令。
第一步:创建好你自己的目录结构
首先我们需要一个地方来存放自己的文件。这里我们创建一个 ~/subuser 作为新的、独属于自己的家目录:
mkdir ~/subuser
第二步:准备 SSH 登录时的命令
就写一个很简单的 shell 脚本:
#!/bin/bashexport HOME="$HOME/subuser"
cd "$HOME"if [ -z "$SSH_ORIGINAL_COMMAND" ]; thenexec /bin/bash --login
elseexec /bin/bash -c "$SSH_ORIGINAL_COMMAND"
fi
这里我们假定把它放在 ~/subuser/ssh-command.sh 。别忘记添加一下运行权限:
chmod +x ~/subuser/ssh-command.sh
第三步:创建 SSH 密钥
如果你现在没有使用 SSH 密钥登录,那就先在本地设备上使用 ssh-keygen 创建一对密钥。它将作为后续的登录密钥,并结合 authorized_keys 实现登录时自动切换家目录。如果已经在使用 SSH 密钥登录,那么可以直接用这个密钥。
创建密钥后复制一下公钥(公钥的路径在创建密钥的时候会提示),它是一个类似于这样的东西:
ssh-xxxxx xxxxxxxxxxxxxxxxxxx xxxxxx
**第四步:配置 authorized_keys **
在服务端上找到 ~/.ssh/authorized_keys 文件。如果没有可以创建一个,如果有的话里面可能已经有内容了,就是一系列上面这种公钥:
ssh-aaaaa aaaaaaaaaaaaaaaaaaa aaaaaa
ssh-bbbbb bbbbbbbbbbbbbbbbbbb bbbbbb
这时候把你的粘进去(如果本来就有,那就改那个),同时设置一下 command :
ssh-aaaaa aaaaaaaaaaaaaaaaaaa aaaaaa
ssh-bbbbb bbbbbbbbbbbbbbbbbbb bbbbbb
command="~/subuser/ssh-command.sh" ssh-xxxxx xxxxxxxxxxxxxxxxxxx xxxxxx
第五步:没有第五步了
现在 SSH 登录到你的服务器,它应该默认就会执行这个脚本把你的家切换过去。 Visual Studio Code 的话,你会发现它重新下载了 vscode-server 。
在使用的过程中,得根据自己的需要去修改第二步中的脚本。例如 XDG_CONFIG_HOME 、 XDG_DATA_HOME 和 PATH 之类的变量可能需要修改。可以 env 查一下所有环境变量。
另外前面提到的,如果感觉这样还是有访问到其他东西的隐患,比如环境变量没弄干净,或者说可能有的应用去读了 /etc/passwd 而不尊重 HOME ,那可以考虑一下 unshare 大法:
#!/bin/bash# DANGER! DANGER! DANGER! DANGER! DANGER! DANGER! DANGER! DANGER!
# DANGER! DANGER! DANGER! DANGER! DANGER! DANGER! DANGER! DANGER!
# Please make sure you have another way to log in, otherwise you will never see your original home directory.exec unshare --user --map-root-user --mount /bin/bash -c "mount --make-rprivate /mount --bind ~/subuser/home ~cd ~exec /bin/bash -c \"\$1\" -- \"\$1\"
" -- "${SSH_ORIGINAL_COMMAND:-"/bin/bash --login"}"
这下原本的家目录直接蒸发了,还给我升级成 root 了,真是太棒了!
(另外这边稍微记录一下,有的系统上可能出于安全原因禁用了 unshare --map-root-user 。例如新版的 Ubuntu ,只能求管理员使用 sudo sysctl -w kernel.unprivileged_userns_clone=1 允许操作了。其他多数系统目前好像还是放开的。)