我在一个组中有一个用户:“demo”。
我想设置这个用户可以运行10个命令的策略,如“vim”,“nano”,“cd”等。
或者,将策略设置为可以访问除“ssh”和“cat”命令之外的所有命令。
谢谢
有很多不同的方法可以实现这一目标。我将列出几种可能的解决方案之一。
我建议使用几个不同的保护层来防止用户运行他们不应该被允许访问的命令。这里的所有方向都假设用户有自己的/home/[username]
目录,他们的shell是/bin/bash
,你希望他们在登录系统时使用bash shell。
1)将用户的bash更改为受限制的bash模式,以便他们无法更改目录(如果您的系统上没有受限制的bash模式,this link将帮助并提供更多信息)chsh -s /bin/rbash [username]
2)更改目录权限,以便只有用户可以编辑其主目录的内容
chmod 755 /home/[username]
3)删除用户的.bashrc
文件
rm /home/[username]/.bashrc
This site有更多的信息,为什么在这种情况下删除.bashrc
可能是一个好主意。
4)创建一个.bash_profile
并为要禁用的所有命令添加“安全”别名
./bash_profile文件示例
alias apt-get="printf ''"
alias aptitude="printf ''"
[...]
alias vi="vi -Z" #this is vi's safe mode and shell commands won't be run from within vi
alias alias="printf ''"
请查看the full list of bash commands了解更多信息。您必须确保alias alias="printf ''"
命令是列表中的最后一个命令,否则您将失去对所有这些命令进行别名的能力。
注意运行以下命令将搜索系统上几乎所有可用的命令,并输出现成的文件,几乎所有可用的命令都会预先设置别名。 [
命令是bash中的test
命令。因此,如果您在文件中看到它,那不是错误。
#search /bin and /usr/bin for any commands that exist on our system
ls /bin -1 > commands_on_system.txt && ls /usr/bin -1 >> commands_on_system.txt
#format and save this information to a bash variable
IFS=$'\n' GLOBIGNORE='*' command eval 'COMMANDS_ON_SYSTEM=($(cat ./commands_on_system.txt))'
IFS=$'\n' COMMANDS_ON_SYSTEM=($(sort <<<"${COMMANDS_ON_SYSTEM[*]}"))
unset IFS
#save these commands in aliased format for easy usage
for linux_command in "${COMMANDS_ON_SYSTEM[@]}"
do :
#you can change how this works to automatically
#setup the command file for you
echo "alias ${linux_command}=\"printf ''\"" >> ./startup_functions_for_beginners.sh
done
5)通过将vi命令别名化为限制模式来禁用vi中的shell命令
语法是alias vi="vi -Z"
,但请参阅this site以获取更多信息。
6)将用户的.bash_profile
的所有权更改为root
chown root:root /home/[username]/.bash_profile
7)最后,删除用户的.bash_profile
的写权限
chmod 755 /home/[username/.bash_profile]
现在,当用户登录时,他们将无法更改目录,您不希望他们使用的所有命令将输出相同的信息,就好像用户按下没有指定命令的[ENTER]
键,以及您的/bin/bash
功能保持不变。
根据您选择或不使用别名的功能,用户可能仍然可以规避您实施的某些控件。但是,由于我们实现了一些安全缓冲区,用户真的必须知道计算机系统做任何危险。
在一个相关的注释和你可能想要考虑的事情,如果你直接将这些别名放在每个用户的.bash_profile
中,你将难以维护哪些函数应该和不应该是别名,如果你需要更改别名任何你必须单独改变所有这些。此外,由于用户可以使用vim
或vi
查看文件,他们可以看到他们的.bash_profile
的内容,并了解他们拥有和没有的限制。
为了解决这个问题,我建议。
1)将所有别名放在用户无法访问的目录中(在此处粘贴.bash_profile
的内容)
/[path_to_file]/startup_functions_for_beginners.sh
2)将别名采购到他们的.bash_profile
改进了./bash_profile文件示例
if [[ -f /[path_to_file]/startup_functions_for_beginners.sh ]]; then
. /[path_to_file]/startup_functions_for_beginners.sh
fi
这应该会让你走上正轨,但请记住,几乎总有办法绕过限制。
此外,您可以随意重新混合此答案中的信息以满足您的需求。这些也绝对可以与许多其他限制相结合。
问:我需要用户访问fg
和bg
,但我不希望他们能够访问aptitude
或bash
alias apt-get="printf ''" #the user won't be able to run this
alias aptitude="printf ''" #the user won't be able to run this
alias bash="printf ''" #the user won't be able to run this
#alias fg="printf ''" #this will run as a bash built-in
#alias bg="printf ''" #you actually don't need to include these in your script
根据此Harvard Website(非EXHAUSTIVE)的常用命令列表
当您将程序安装到Linux时,您可以使用的更改。我建议您在步骤4中运行上面列出的命令,以帮助在安装后找到新命令。
应该谨慎使用编辑器,因为有些允许从程序中执行shell命令
nano
emacs
pico
sed
vi
vim
其他一切
exit
logout
passwd
rlogin
ssh
slogin
yppasswd
mail
mesg
pine
talk
write
as
awk
bc
cc
csh
dbx
f77
gdb
gprof
kill
ld
lex
lint
make
maple
math
nice
nohup
pc
perl
prof
python
sh
yacc
xcalc
apropos
find
info
man
whatis
whereis
cd
chmod
chown
chgrp
cmp
comm
cp
crypt
diff
file
grep
gzip
ln
ls
lsof
mkdir
mv
pwd
quota
rm
rmdir
stat
sync
sort
tar
tee
tr
umask
uncompress
uniq
wc
cat
fold
head
lpq
lpr
lprm
more
less
page
pr
tail
zcat
xv
gv
xpdf
ftp
rsync
scp
alias
chquota
chsh
clear
echo
pbm
popd
pushd
script
setenv
stty
netstat
rsh
ssh
bg
fg
jobs
^y
^z
clock
date
df
du
env
finger
history
last
lpq
manpath
printenv
ps
pwd
set
spend
stty
time
top
uptime
w
who
whois
whoami
gimp
xfig
xv
xvscan
xpaint
kpaint
mplayer
realplay
timidity
xmms
abiword
addbib
col
diction
diffmk
dvips
explain
grap
hyphen
ispell
latex
pdfelatex
latex2html
lookbib
macref
ndx
neqn
nroff
pic
psdit
ptx
refer
roffbib
sortbib
spell
ispell
style
tbl
tex
tpic
wget
grabmode
import
xdpyinfo
xkill
xlock
xterm
xwininfo
html2ps
latex2html
lynx
netscape
sitecopy
weblint
我知道我迟到了,事实上已经迟到了两年,但我刚才为你的情况偶然找到了解决办法。我有一个用户,让我们称他为“test1”,需要限制一些命令,比如“su”,但其余的应该可用。为了应用这个限制,我只是在命令本身后面的二进制文件中使用ACL(假设你的FS上已经启用了acls),如下所示:
上面的命令更改了该特定二进制文件的权限,实际上是“su”命令,以授予用户“test1”仅对该文件的读访问权限。因此,当用户“test1”尝试“执行”“su”命令时,他无法在其后面运行脚本并获得“权限被拒绝”。
只需运行“which command_you_want_restricted”即可查看其背后的文件。
我在Red Hat 6.5和7上测试了这个方法,它只影响用户“test1”,所有其他用户可以随意继续运行“su”。
至于你的具体要求:
“或者,将策略设置为可以访问除”ssh“和”cat“命令之外的所有命令。”
你可以在你希望的命令二进制文件中为“demo”组做ACL的同样的事情,但是我没有用组测试它,我建议你先在测试VM上试一试。
问候,
标准答案是使用受限制的shell,使其成为该组中用户的密码文件中的最后一个条目。因为你可以从vim:http://web.physics.ucsb.edu/~pcs/apps/editors/vi/vi_unix.html这样的东西运行外部命令
如果你想要创造一个受限制的环境,这似乎不是一个好主意。用户可以做的第一件事是使用上面链接中的命令来运行/bin/bash
,并且他将在受限制的环境之外。
更好的想法是将每个用户的登录信息放入chroot jail或者轻量级容器中(因此如果它们破坏了任何东西,那么它就是自己的容器)。看看Docker - http://docker.io。
如果您只有几个要禁用的命令,@ Dodzi Dzakuma解决方案很棒。
但是,如果您只想让用户运行多个命令,这是一个更好的解决方案:
chsh -s /bin/rbash <username>
sudo mkdir /home/<username>/bin
sudo chmod 755 /home/<username>/bin
echo "PATH=$HOME/bin" >> /home/<username>/.bashrc
echo "export PATH >> /home/<username>/.bashrc
sudo ln -s /bin/<command> /home/<username>/bin/
chattr +i /home/<username>/.bashrc
如果您只想允许用户运行多个命令,这样做会更好,因为您不需要设置所有可能命令的别名来禁用它们,而只需设置要允许的命令的符号链接。
我有点惊讶没有人在他们的答案中使用原生SSH功能......我知道我已经晚了4年但它仍然可以派上用场:)
使用SSH时,您应该使用密钥登录;当我们谈论保护服务器时,禁用密码登录应该是您应该做的第一件事。因此,当您使用密钥时,您现在可以通过在authorized_keys文件中添加密钥,仅允许每个密钥只使用一个命令:
command="only" ssh-rsa AAABBBCC....
only
命令是白名单功能,允许用户仅运行这些命令。您不必通过更改默认的二进制权限(管理员地址......)来对系统进行例外处理。确保将authorized_keys
文件设置为对用户不可写。
唯一的命令是必须以775权限安装在/usr/bin/
中的脚本。
阅读所有相关内容:The Only Way For SSH Forced Commands
现在您了解它是如何工作的,您可以简单地将任何允许用户执行的命令列入白名单:
command="only cal cowsay factor figlet fortune" ssh-rsa AAABBBCC....
或者使用具有正确语法的.onlyrules
文件,注意不要使用任何贪婪的正则表达式..
----------------------
< I'm restricted >
----------------------
\ ^__^
\ (oo)\_______
(__)\ )\/\
||----w |
|| ||
我在组织中面临类似的情况,我不得不限制人们只访问某些命令。
到目前为止,我已经找到了两种不同的方法。
这是我的想法。
rbash适用于基本的东西,如阻止重定向和cli上的某些字符,但要做一些高级的东西,比如将某些命令列入白名单,你需要加倍努力。
Dockersh是一种完全新鲜和现代的限制贝壳的方法。除非您将所有用户的操作限制为容器,否则您只允许这一切。
在我的用例中,我不得不限制我的用户使用基于shell的重定向,管道等关闭的单个命令,因此我选择了lshell。配置时间不到5分钟。查找详细信息here。