我看到有這種限定一個(gè)用戶執(zhí)行特定命令的方法，可是不成功，望指教

dwq123

我看到有這種限定一個(gè)用戶執(zhí)行特定命令的方法，貼出來大家看看  
來源： 作者： 發(fā)布時(shí)間：2007-01-22   
我們知道,linux是個(gè)比較安全的系統(tǒng),而shell也具有很強(qiáng)的安全性,他的安全性是通過"約束"特定用戶的
登錄shell來實(shí)現(xiàn)的,
約束你的shell:
當(dāng)帶-r選項(xiàng)作為你登錄的shell時(shí),這個(gè)用戶的shell是被約束的!,當(dāng)約束shell時(shí),你不能用cd命令,而且你不能
修改或復(fù)位SHELL,ENV,PATH等變量,任何重定向的操作被視為非法,不能用set來復(fù)位或置位該選項(xiàng)!
基于此,那么我就可以這樣限定一個(gè)用戶:
1,在/etc/passwd中將用戶abc的登錄shell改成:
abc: x:501:501::/home/abc:/bin/bash -r
2,將此用戶的.bash_profile文件中PATH指定一個(gè)工作目錄:
export PATH=${PATH}:~/mybin
3,將用戶abc只能執(zhí)行的幾個(gè)常用命令,如ls等,cp到此目錄,
cp /bin/ls /home/abc/mybin #ln也可
4,完成
設(shè)定好之后,這個(gè)用戶abc登錄后他就只能運(yùn)行l(wèi)s

我的問題是：只要在/etc/passwd中把shell一加上“- r”選項(xiàng)，該用戶ssh就登錄不了了，總提示密碼不對(duì)，有沒有這樣成功過的，請指出問題

kenduest

原帖由 dwq123 于 2007-5-11 13:18 發(fā)表于 1樓  
1,在/etc/passwd中將用戶abc的登錄shell改成:
abc: x:501:501::/home/abc:/bin/bash -r

1. 
   
2. cd /bin
   
3. ln -s bash rbash
   

復(fù)制代碼

使用 /bin/rbash 即可

--

dwq123

原帖由 kenduest 于 2007-5-11 15:50 發(fā)表于 2樓  



cd /bin
ln -s bash rbash


使用 /bin/rbash 即可

--

多謝kenduest 的回答，可是我發(fā)現(xiàn)如果這樣改了之后有2個(gè)問題：
1、用戶登錄后還是能夠用cd 命令到其他目錄
2、用ssh sercure shell無法sftp傳輸文件

kenduest

原帖由 dwq123 于 2007-5-12 10:08 發(fā)表于 3樓  
多謝kenduest 的回答，可是我發(fā)現(xiàn)如果這樣改了之后有2個(gè)問題：
1、用戶登錄后還是能夠用cd 命令到其他目錄
2、用ssh sercure shell無法sftp傳輸文件

1. 抓個(gè)圖如何 ?

2. rbash 內(nèi)本來就不可以使用 sftp, 這是必然的... 因?yàn)槭芟逕o法執(zhí)行絕對(duì)路徑 /usr/lib/ssh/sftp 這個(gè)程序.

--

dwq123

原帖由 kenduest 于 2007-5-12 12:20 發(fā)表于 4樓  


1. 抓個(gè)圖如何 ?

2. rbash 內(nèi)本來就不可以使用 sftp, 這是必然的... 因?yàn)槭芟逕o法執(zhí)行絕對(duì)路徑 /usr/lib/ssh/sftp 這個(gè)程序.

--

我把sftp這個(gè)程序copy到mybin目錄下了也不行，如圖
而且還能cd到/usr目錄中，如圖

kenduest

原帖由 dwq123 于 2007-5-12 15:08 發(fā)表于 5樓  

我把sftp這個(gè)程序copy到mybin目錄下了也不行，如圖
而且還能cd到/usr目錄中，如圖

1. 你的使用者家目錄為何 ? echo $HOME 列一下.

2. sftp 登入是會(huì)啟動(dòng) /usr/lib/ssh/sftp-server，這個(gè)一般是這樣呼叫:

1. /bin/bash -c /usr/lib/ssh/sftp-server

復(fù)制代碼

重點(diǎn)是你是使用 rbash，那變成:

1. /bin/rbash -c /usr/lib/ssh/sftp-server

復(fù)制代碼

這個(gè)就會(huì)產(chǎn)生錯(cuò)誤。這個(gè)並不是你複製啥檔案到哪個(gè)目錄內(nèi)就可以了

--

dwq123

原帖由 kenduest 于 2007-5-13 01:43 發(fā)表于 6樓  


1. 你的使用者家目錄為何 ? echo $HOME 列一下.

2. sftp 登入是會(huì)啟動(dòng) /usr/lib/ssh/sftp-server，這個(gè)一般是這樣呼叫:

/bin/bash -c /usr/lib/ssh/sftp-server

重點(diǎn)是你是使用 rbash，那變成:

...

明白了，我現(xiàn)在已經(jīng)可以讓用戶只用sftp而不能登陸系統(tǒng)，可是我還是有2個(gè)問題沒解決，不知道kenduest大哥能不能幫我：
1、我想讓用戶sftp后只能在自己的家目錄中
2、普通用戶ssh登錄后也只能在自己的家目錄中
謝謝kenduest大哥

kenduest

原帖由 dwq123 于 2007-5-13 21:34 發(fā)表于 7樓  
明白了，我現(xiàn)在已經(jīng)可以讓用戶只用sftp而不能登陸系統(tǒng)，可是我還是有2個(gè)問題沒解決，不知道kenduest大哥能不能幫我：
1、我想讓用戶sftp后只能在自己的家目錄中
2、普通用戶ssh登錄后也只能在自己的家目錄 ...

真抱歉，沒這個(gè)功能.....

openssh 的服務(wù)沒有 chroot 功能納入，沒有這類現(xiàn)成功能。

1. ftp 問題，我建議你還是改用傳統(tǒng)的 ftp + ssl 的方式處理比較好，單純又簡單。許多 ftpd 都支援該功能。

2. 就算是 ssh 到主機(jī)後可以 chroot，那我問你要作啥功能？還要允許可以跑系統(tǒng)程式？那你是不是要幫每個(gè)使用者複製相關(guān)程式檔案甚至程式庫到使用者家目錄，那根本就是費(fèi)時(shí)費(fèi)力不討好方式. 所以實(shí)務(wù)上沒人會(huì)配置登入主機(jī)後還 chroot 功能。

--

dwq123

原帖由 kenduest 于 2007-5-13 23:30 發(fā)表于 8樓  


真抱歉，沒這個(gè)功能.....

openssh 的服務(wù)沒有 chroot 功能納入，沒有這類現(xiàn)成功能。

1. ftp 問題，我建議你還是改用傳統(tǒng)的 ftp + ssl 的方式處理比較好，單純又簡單。許多 ftpd 都支援該功能。

2. ...

多謝kenduest  斑竹了，我的本意其實(shí)就是為了保證系統(tǒng)安全，讓普通賬戶即使被盜也不至于破壞到系統(tǒng)�？磥硪獙�(shí)現(xiàn)這個(gè)功能還是需要復(fù)雜點(diǎn)的配置了。

dogz

老外有寫個(gè)SSHJAIL, PATCH可以實(shí)現(xiàn)此功能
http://paradigma.pt/~gngs/sshjail/
昨天剛好也在找此功能, 運(yùn)氣不錯(cuò), 還找到KENDUEST大大的另類思考

原帖由 kenduest 于 2007-5-13 23:30 發(fā)表于 8樓  


真抱歉，沒這個(gè)功能.....

openssh 的服務(wù)沒有 chroot 功能納入，沒有這類現(xiàn)成功能。

1. ftp 問題，我建議你還是改用傳統(tǒng)的 ftp + ssl 的方式處理比較好，單純又簡單。許多 ftpd 都支援該功能。

2. ...