Linux 如何限制普通用户只能使用一部分SHELL

ls -l 文件或目录名，显示的第一列那一串字母就是文件的权限，第一个字母是文件类型剩下的分别是文件所有者、文件所属用户组、其他用户的读、写、执行权限
如d rwx rwx rwx，如果发现某一位是“-”，表示没有该权限（r读，w写，x执行）
像d rwx r-x r--，就表示文件所有者具有读写执行权限，所属用户组的用户具有读和执行的权限，其他用户只具有读权限。
既然你是初学者，好理解的更改权限的方法是
chmod u/g/o/a+/-r/w/x 文件名或目录 #需root或文件所有者使用
u是文件所有者，g是所属用户组，o是其他，a是以上三者
例如，chmod o+w file表示让file文件的其他用户获得写权限
chmod g-x file 表示让同用户组的用户失去执行权限
同时改变目录下的权限就加上-R参数

1、你说的top、ps、df等包括所有基本命令都是root用户和root用户组的，而且默认其他用户都是可以执行的，你用ls -l 查下 /usr/bin目录就知道了，它们都在这里，要设定特定用户对特定文件的权限需要用ACL（Access Control List）不知道你是什么需求？你想让test只能执行这几个命令就得把其他所有命令的执行权限去掉？

2、目录的权限含义和普通文件不同，读代表能看到该目录，写代表修改目录里面的内容或属性，执行代表能进入该目录，
不想让其他用户查看，就chmod -R o-r apache就行了

手打的好累呀，不知道你明白了没有

1，处理机管理：linux是真正的多用户操作系统，windows（楼主说的windows是哪一个？2003？XP？还是NT？）一般来讲，其实不是真正的多用户。在Linux系统中，提高处理机使用率的技术措施主要是多道和分时，处理机在进程之间切换，按照一定的规则轮流执行每个进程。对于单个处理机的系统，这些进程宏观上看似并行执行，而微观上来看仍然是串行执行的，这种执行方式被称为并发执行。操作系统通过并发控制机制，对处理机进行分配、调度，在保证每个进程都得到公平合理执行的同时，使系统中的各种资源得到充分的使用。不过我们得明白一点，linux其实不是完整的操作系统，只是内核。还需要shell等来组成一个可操作的系统。
2，设备管理：在linux上，一切设备都文件。大多数Linux资源都能以文件的方式来访问。无论哪种文件类型，Linux的文件抽象---也就是说，它习惯于将几乎所有的东西按文件对待---能够让你使用相同的接口打开、关闭、读取和写入不同的文件。在Linux系统中，所有设备都作为一类特别文件对待，用户像使用普通文件那样对设备进行操作，从而实现设备无关性。但是，设备文件除了存放在文件I节点中的信息外，它们不包含任何数据。系统利用它们来标识各个设备驱动器，核心使用它们与硬件设备通信。有两类特别设备文件，它们对应不同类型的设备驱动器：
字符设备 最常用的设备类型，允许I/O传送任意大小的数据，取决于设备本身的容量。使用这种接口的设备包括终端、打印机及鼠标。
块设备 这类设备利用核心缓冲区的自动缓存机制，缓冲区进行I/O传送总是以1KB为单位。使用这种接口的设备包括硬盘、软盘和RAM盘。
3，文件管理：linux的文件系统毋庸置疑具备更高的效率。我的linux安装好后，就没有整理过磁盘。因为linux的ext3等文件系统本身就具备更高的执行效率甚至可以自我整理。另外linux还支持NFS网络文件系统，方便实现网络上不同操作系统的高效读写。
在Linux系统中，除根目录(root)以外，所有文件和目录都包含在相应的目录文件中。Linux文件系统采用带链接的树形目录结构，即只有一个根目录（通常用“/”表示），其中含有下级子目录或文件的信息；子目录中又可含有更下级的子目录或者文件的信息。这样一层一层地延伸下去，构成一棵倒置的树。这个和win有点像。
4，进程管理：Linux用分时管理方法使所有的任务共同分享系统资源。主要有交互进程，批处理进程，监控进程等不同作用的进程类型，并且具备多中启动方式。linux具备win不具有的特点，任务抢占机制，在一些应用程序出现问题的时候可以快速的被系统取代。这都是win不具备的。

别想得太复杂了，如果只是要限制使用一些命令的话，直接在更改$PATH环境变量里设置路径比如/sbin:/usr/local/sbin等等。把不想他用到的命令所在路径在$PATH里删除掉。

1.建立一个top ps df 等命令文件 的 属组 aa
把 top ps df 都属于这个组
chmod o-x 命令文件
chmod g+x 命令文件
要运行这个命令的用户都加到aa里

2. apache的目录的拥有者和属组都是root
chmod o-r 目录名

目录的权限，例如drwxr-xr-x，因为有x，大家都可以进入，如果你不想其它用户进入apache目录，就把最后的x去掉，那就只有owner和同group的帐号能进入了。