Molto spesso si ha l'esigenza di limitare quello che un utente può fare da una shell Linux. Storicamente su linux esiste il comando rbash (restricted bash) , che dovrebbe permettere di bloccare gli utenti nella loro home e di consentirgli solo un set limitato di comandi.
Tuttavia molti non ritengono rbash particolarmente sicuro. Apparmor è invece ritenuto decisamente più sicuro, è più maneggevole e più semplice da configurare.
Voglio riportare qua una semplice ricetta su come usare apparmor per creare una shell che consente ad un utente non privilegiato di utilizzare solo il comando ssh per connettersi a macchine remote, e niente altro. Una volta capite le basi di come procedere l'unico limite su cosa permettere o bloccare è la fantasia.