Мне везло с Линейкой продуктов Digi. У них была достойная безопасность - по крайней мере основанная на пользователе аутентификация и ssh доступ. У меня есть к протесту это с, я никогда не использовал там 1/2 модели порта просто их более верхний уровень 16/32 модели порта, таким образом, я не могу говорить непосредственно с поддержкой меньших моделей.
от man sshd_config
:
ForceCommand
Вызывает выполнение команды, указанной ForceCommand, игнорирующим любую команду, предоставленную клиентом и ~/.ssh/rc если существующий. Команда вызывается при помощи оболочки входа в систему пользователя с-c опцией. Это применяется к оболочке, команде или выполнению подсистемы. Это является самым полезным в блоке Соответствия. Команда, первоначально предоставленная клиентом, доступна в переменной среды SSH_ORIGINAL_COMMAND. Определение команды “внутренних-sftp” вызовет использование незавершенного sftp сервера, который не требует никаких файлов поддержки при использовании с ChrootDirectory
это позволяет Вам использовать обертку оболочки, которая позволяет, только делают определенные вещи. одним примером является rssh.
Если Вы только хотите это ограничение для определенных пользователей, используйте command=cmd
опция в known_hosts
файл (зарегистрированный в man sshd
)
Maybe, настраивающий chroot среду для Ваших пользователей, мог помочь. Посмотрите, Как может я chroot соединения SSH?
Один метод, в то время как не прекрасный, должен был бы создать отдельный раздел для пользовательских корневых каталогов любые местоположения, которые у них есть доступ для записи. Просто монтируют те разделы noexec.
Надлежащая установка полномочий файловой системы обычно будет очень эффективной для ограничения ущерба, который может быть нанесен.
Если пользователям не по крайней мере несколько доверяют, то, возможно, это - плохая идея предоставить им доступ SSH вообще. Возможно, необходимо установить VMs для них и ограничить каждого их собственной средой.
/tmp
, а также любые другие глобально перезаписываемые каталоги, такой как /var/tmp
. Это доставляет неприятности некоторым диспетчерам пакетов, которые должны где-нибудь распаковать скрипты, которые должны быть запущены для надлежащей конфигурации.
– Phil Miller
17 April 2010 в 01:54