高手们能讲讲怎么做的思路么？
home 目录设在 /home/getacc，只能在 getacc 目录内 vi，mkdir 什么的
不能跑去 /opt，/etc 之类的目录看结构，连文件名都不能看
chroot

用 ALC 把这个帐号对 /下所有文件夹的 rwx 权限都去掉，/home 只留 x

chroot+rbash

https://unix.stackexchange.com/questions/208960/how-to-restrict-a-user-to-one-folder-and-not-allow-them-to-move-out-his-folder

是 ACL 吧

没有 /usr/bin 这个目录的权限能跑 vi 吗？

这需求直接用 docker 不是首选吗？
开个端口搞定，在容器里随便 root 权限怎么搞，还可以灵活备份为镜像，换台机器无损迁移。

完美，搞崩都无所谓

哈哈哈，看到你这个头像就知道为什么无脑推 docker 了
docker run -it 全世界都是你的

建议启动一个支持 ssh 的 docker，目前我们实验室就是这么做。

哈哈哈，→_→应该是看到我明明用的是这个头像，竟然还给楼主推荐 docker，说明楼主的这个需求用 docker 实在是再适合不过。

也有问题吧，lz 说的就是一些基础的文件操作，要是加上 root 权限，恶意把容器搞崩反倒难顶。要不然你就每个人开一个容器，自动配置也麻烦，内存也顶不住。另外他有 root 无限塞东西，不是分分钟把硬盘塞爆

用 docker 搞个蜜罐

docker 不一定给 root
恶意搞崩的话，只要给 bash 就可以 `:(){ :|:& };:` 了

绑定 ldap 企业级的权限

参考 ftp 只给一个目录权限