我希望构建类似于tilde.club的应用程序,其中用户具有SSH权限,但是受限制的可用命令列表。我是Bash和Unix机器的新手,所以我咨询了一位有更多经验的朋友。他模糊地解决了一些安全问题而没有解释,即被监禁的用户环境不安全,虚拟机不稳定,以及SSH隧道。
有人请说明......
如果重要,我只希望用户能够使用nano和我正在编写的Python小程序。它们应限制在其主目录及其中的所有子目录中。
答案 0 :(得分:0)
点子:
首先,您可以将其设置为rosh
,而不是将用户的外壳设为bash,ksh,...
然后,在/etc/sudoers中,允许相同的用户/用户组,只运行一些有限的命令列表作为另一个可以运行它们的通用用户,或者如果需要,以root身份运行。
另外,我记得有些人定义了"允许命令"在目标服务器的~/.ssh/authorized_keys中,但是对于用户来说它必须是只读的,否则他可以修改它。
参考资料/帮助链接:
http://cybermashup.com/2013/05/14/restrict-ssh-logins-to-a-single-command/ http://david-latham.blogspot.in/2013/12/restrict-commands-executed-via-pre.html http://www.cmdln.org/2008/02/11/restricting-ssh-commands/