Ограничение пользователей SSH на определенные права доступа
PermitRootLogin контролирует, разрешен ли вход пользователя с именем «root» (если быть точным: любой пользователь с UID 0). Если вы регистрируетесь как root, вам не нужно sudo выполнять привилегированные задачи.
С другой стороны, если вы входите в учетную запись пользователя и используете sudo без пароля, вы должен настроить файл sudoers без необходимости возиться с /etc/ssh/sshd_config. См. Как заставить Ubuntu запомнить пароль навсегда после первого раза
8 ответов
Ну, если вы хотите ограничить пользователя / home, ssh на самом деле не является правильным инструментом. Например, / bin / bash не находится в / home. Лучшим инструментом было бы что-то вроде NFS, sshfs, ftp и т. Д. (Мы могли бы обсудить, какой из них использовать).
Вы могли бы построить chroot в / home, но LXC - это ИМО, более современный tool.
Другим вариантом будет написать профиль apparmor. Это будет несколько похоже на chroot в том, что вам нужно будет указать, что пользователь будет иметь и не будет иметь доступа к профилю.
Что вы сделаете, это сделать ссылку на / bin / bash, Я назову это jailbash
sudo ln /bin/bash /usr/local/jailbash
Затем вы меняете учетную запись пользователей из bash на jailbash
sudo chsh <user>
Теперь напишите профиль apparmor для jailbash:
Вот пример:
Это написано для Ubuntu 10.04, и вам нужно будет просмотреть обновление, но оно дает вы отправная точка.
-
1Учитывая, что это на сервере оболочки, мне нужно, по крайней мере, получить ограничения для программ, вы бы рекомендовали профили apparmor или LXC для сервера с оболочкой с низкими параметрами? – Thomas Ward♦ 30 May 2012 в 22:40
-
2Трудно ответить на ваш вопрос без дополнительной информации о том, что вы хотите, чтобы ваши пользователи делали. В общем, Apparmor, если вашим пользователям необходимо взаимодействовать с основной системой (услуги запуска / остановки, редактировать файлы конфигурации, управлять веб-контентом, резервными копиями и т. Д.) И LXC, если им нужен только доступ к ssh / shell (sshfs, переадресация портов). – Panther 30 May 2012 в 22:57
-
3доступ к ssh / shell - это все, что им нужно, но я хотел бы ограничить запуск запущенных программ python, не установленных администратором, т. е. python ./IAmAScript.py, из оболочки. – Thomas Ward♦ 30 May 2012 в 23:10
-
4Моим советом было бы использовать apparmor. – Panther 30 May 2012 в 23:37
Ну, если вы хотите ограничить пользователя / home, ssh на самом деле не является правильным инструментом. Например, / bin / bash не находится в / home. Лучшим инструментом будет что-то вроде NFS, sshfs, ftp и т. Д. (Мы могли бы обсудить, какой из них использовать).
Вы могли бы построить chroot в / home, но LXC , IMO, лучший более современный инструмент.
Другим вариантом будет написать профиль apparmor. Это будет несколько похоже на chroot, поскольку вам нужно будет указать, к чему будет обращаться пользователь и не будет иметь доступа к нему в профиле.
Что бы вы сделали, это сделать ссылку на / bin / bash, Я назову его jailbash
sudo ln /bin/bash /usr/local/jailbash
Затем вы меняете учетную запись пользователей из bash в jailbash
sudo chsh <user>
Теперь напишите профиль apparmor для jailbash:
Вот пример:
http://bodhizazen.com/aa-profiles/bodhizazen/ubuntu-10.04/usr.local.bin.jailbash
Это написано для Ubuntu 10.04, и вам нужно будет просмотреть обновление, но оно дает вам отправную точку.
Ну, если вы хотите ограничить пользователя / home, ssh на самом деле не является правильным инструментом. Например, / bin / bash не находится в / home. Лучшим инструментом будет что-то вроде NFS, sshfs, ftp и т. Д. (Мы могли бы обсудить, какой из них использовать).
Вы могли бы построить chroot в / home, но LXC , IMO, лучший более современный инструмент.
Другим вариантом будет написать профиль apparmor. Это будет несколько похоже на chroot, поскольку вам нужно будет указать, к чему будет обращаться пользователь и не будет иметь доступа к нему в профиле.
Что бы вы сделали, это сделать ссылку на / bin / bash, Я назову его jailbash
sudo ln /bin/bash /usr/local/jailbash
Затем вы меняете учетную запись пользователей из bash в jailbash
sudo chsh <user>
Теперь напишите профиль apparmor для jailbash:
Вот пример:
http://bodhizazen.com/aa-profiles/bodhizazen/ubuntu-10.04/usr.local.bin.jailbash
Это написано для Ubuntu 10.04, и вам нужно будет просмотреть обновление, но оно дает вам отправную точку.
Ну, если вы хотите ограничить пользователя / home, ssh на самом деле не является правильным инструментом. Например, / bin / bash не находится в / home. Лучшим инструментом будет что-то вроде NFS, sshfs, ftp и т. Д. (Мы могли бы обсудить, какой из них использовать).
Вы могли бы построить chroot в / home, но LXC , IMO, лучший более современный инструмент.
Другим вариантом будет написать профиль apparmor. Это будет несколько похоже на chroot, поскольку вам нужно будет указать, к чему будет обращаться пользователь и не будет иметь доступа к нему в профиле.
Что бы вы сделали, это сделать ссылку на / bin / bash, Я назову его jailbash
sudo ln /bin/bash /usr/local/jailbash
Затем вы меняете учетную запись пользователей из bash в jailbash
sudo chsh <user>
Теперь напишите профиль apparmor для jailbash:
Вот пример:
http://bodhizazen.com/aa-profiles/bodhizazen/ubuntu-10.04/usr.local.bin.jailbash
Это написано для Ubuntu 10.04, и вам нужно будет просмотреть обновление, но оно дает вам отправную точку.
Ну, если вы хотите ограничить пользователя / home, ssh на самом деле не является правильным инструментом. Например, / bin / bash не находится в / home. Лучшим инструментом будет что-то вроде NFS, sshfs, ftp и т. Д. (Мы могли бы обсудить, какой из них использовать).
Вы могли бы построить chroot в / home, но LXC , IMO, лучший более современный инструмент.
Другим вариантом будет написать профиль apparmor. Это будет несколько похоже на chroot, поскольку вам нужно будет указать, к чему будет обращаться пользователь и не будет иметь доступа к нему в профиле.
Что бы вы сделали, это сделать ссылку на / bin / bash, Я назову его jailbash
sudo ln /bin/bash /usr/local/jailbash
Затем вы меняете учетную запись пользователей из bash в jailbash
sudo chsh <user>
Теперь напишите профиль apparmor для jailbash:
Вот пример:
http://bodhizazen.com/aa-profiles/bodhizazen/ubuntu-10.04/usr.local.bin.jailbash
Это написано для Ubuntu 10.04, и вам нужно будет просмотреть обновление, но оно дает вам отправную точку.
Ну, если вы хотите ограничить пользователя / home, ssh на самом деле не является правильным инструментом. Например, / bin / bash не находится в / home. Лучшим инструментом будет что-то вроде NFS, sshfs, ftp и т. Д. (Мы могли бы обсудить, какой из них использовать).
Вы могли бы построить chroot в / home, но LXC , IMO, лучший более современный инструмент.
Другим вариантом будет написать профиль apparmor. Это будет несколько похоже на chroot, поскольку вам нужно будет указать, к чему будет обращаться пользователь и не будет иметь доступа к нему в профиле.
Что бы вы сделали, это сделать ссылку на / bin / bash, Я назову его jailbash
sudo ln /bin/bash /usr/local/jailbash
Затем вы меняете учетную запись пользователей из bash в jailbash
sudo chsh <user>
Теперь напишите профиль apparmor для jailbash:
Вот пример:
http://bodhizazen.com/aa-profiles/bodhizazen/ubuntu-10.04/usr.local.bin.jailbash
Это написано для Ubuntu 10.04, и вам нужно будет просмотреть обновление, но оно дает вам отправную точку.
Ну, если вы хотите ограничить пользователя / home, ssh на самом деле не является правильным инструментом. Например, / bin / bash не находится в / home. Лучшим инструментом будет что-то вроде NFS, sshfs, ftp и т. Д. (Мы могли бы обсудить, какой из них использовать).
Вы могли бы построить chroot в / home, но LXC , IMO, лучший более современный инструмент.
Другим вариантом будет написать профиль apparmor. Это будет несколько похоже на chroot, поскольку вам нужно будет указать, к чему будет обращаться пользователь и не будет иметь доступа к нему в профиле.
Что бы вы сделали, это сделать ссылку на / bin / bash, Я назову его jailbash
sudo ln /bin/bash /usr/local/jailbash
Затем вы меняете учетную запись пользователей из bash в jailbash
sudo chsh <user>
Теперь напишите профиль apparmor для jailbash:
Вот пример:
http://bodhizazen.com/aa-profiles/bodhizazen/ubuntu-10.04/usr.local.bin.jailbash
Это написано для Ubuntu 10.04, и вам нужно будет просмотреть обновление, но оно дает вам отправную точку.
Ну, если вы хотите ограничить пользователя / home, ssh на самом деле не является правильным инструментом. Например, / bin / bash не находится в / home. Лучшим инструментом будет что-то вроде NFS, sshfs, ftp и т. Д. (Мы могли бы обсудить, какой из них использовать).
Вы могли бы построить chroot в / home, но LXC , IMO, лучший более современный инструмент.
Другим вариантом будет написать профиль apparmor. Это будет несколько похоже на chroot, поскольку вам нужно будет указать, к чему будет обращаться пользователь и не будет иметь доступа к нему в профиле.
Что бы вы сделали, это сделать ссылку на / bin / bash, Я назову его jailbash
sudo ln /bin/bash /usr/local/jailbash
Затем вы меняете учетную запись пользователей из bash в jailbash
sudo chsh <user>
Теперь напишите профиль apparmor для jailbash:
Вот пример:
http://bodhizazen.com/aa-profiles/bodhizazen/ubuntu-10.04/usr.local.bin.jailbash
Это написано для Ubuntu 10.04, и вам нужно будет просмотреть обновление, но оно дает вам отправную точку.
-
1Учитывая, что это на сервере оболочки, мне нужно, по крайней мере, получить ограничения для программ, вы бы рекомендовали профили apparmor или LXC для сервера с оболочкой с низкими параметрами? – Thomas Ward♦ 30 May 2012 в 22:40
-
2Трудно ответить на ваш вопрос без дополнительной информации о том, что вы хотите, чтобы ваши пользователи делали. В общем, Apparmor, если вашим пользователям необходимо взаимодействовать с основной системой (услуги запуска / остановки, редактировать файлы конфигурации, управлять веб-контентом, резервными копиями и т. Д.) И LXC, если им нужен только доступ к ssh / shell (sshfs, переадресация портов). – Panther 30 May 2012 в 22:57
-
3– Thomas Ward♦ 30 May 2012 в 23:10
-
4