Вопросы Теги

Отключение всех команд по SSH

Мне везло с Линейкой продуктов Digi. У них была достойная безопасность - по крайней мере основанная на пользователе аутентификация и ssh доступ. У меня есть к протесту это с, я никогда не использовал там 1/2 модели порта просто их более верхний уровень 16/32 модели порта, таким образом, я не могу говорить непосредственно с поддержкой меньших моделей.

2
задан 17 April 2010 в 00:13
3 ответа

от man sshd_config:

ForceCommand

Вызывает выполнение команды, указанной ForceCommand, игнорирующим любую команду, предоставленную клиентом и ~/.ssh/rc если существующий. Команда вызывается при помощи оболочки входа в систему пользователя с-c опцией. Это применяется к оболочке, команде или выполнению подсистемы. Это является самым полезным в блоке Соответствия. Команда, первоначально предоставленная клиентом, доступна в переменной среды SSH_ORIGINAL_COMMAND. Определение команды “внутренних-sftp” вызовет использование незавершенного sftp сервера, который не требует никаких файлов поддержки при использовании с ChrootDirectory

это позволяет Вам использовать обертку оболочки, которая позволяет, только делают определенные вещи. одним примером является rssh.

Если Вы только хотите это ограничение для определенных пользователей, используйте command=cmd опция в known_hosts файл (зарегистрированный в man sshd)

4
ответ дан 3 December 2019 в 10:25
  • 1
    Если Вы хотите ограничить ForceCommand определенными пользователями, группы или хосты, можно также использовать директиву Соответствия в sshd_config. –  Marie Fischer 17 April 2010 в 01:02

Maybe, настраивающий chroot среду для Ваших пользователей, мог помочь. Посмотрите, Как может я chroot соединения SSH?

0
ответ дан 3 December 2019 в 10:25

Один метод, в то время как не прекрасный, должен был бы создать отдельный раздел для пользовательских корневых каталогов любые местоположения, которые у них есть доступ для записи. Просто монтируют те разделы noexec.

Надлежащая установка полномочий файловой системы обычно будет очень эффективной для ограничения ущерба, который может быть нанесен.

Если пользователям не по крайней мере несколько доверяют, то, возможно, это - плохая идея предоставить им доступ SSH вообще. Возможно, необходимо установить VMs для них и ограничить каждого их собственной средой.

0
ответ дан 3 December 2019 в 10:25
  • 1
    Возможно, Вы имеете в виду noexec? –  Phil Miller 17 April 2010 в 01:52
  • 2
    Кроме того, это общее предложение может дающий ложное чувство защищенности. You' d должен заблокировать вниз /tmp, а также любые другие глобально перезаписываемые каталоги, такой как /var/tmp. Это доставляет неприятности некоторым диспетчерам пакетов, которые должны где-нибудь распаковать скрипты, которые должны быть запущены для надлежащей конфигурации. –  Phil Miller 17 April 2010 в 01:54
  • 3
    Да, noexec. Опечатка была исправлена. –  Zoredache 17 April 2010 в 02:17
  • 4
    РЕ: Чувство защищенности ограниченная альтернатива оболочки также имеет проблемы. Люди являются not' t осторожный и они разрешают приложения, которые могут запустить подоболочки. Если Вы действительно параноики, действительно необходимо объединить все вышеупомянутое. Ограниченная оболочка и сильная хорошо контролируемая установка полномочий. –  Zoredache 17 April 2010 в 02:18

Теги

Похожие вопросы