rbash: o usuário pode ativar restrições regulares e contornar restrições

Você precisa restringir os binários disponíveis para o usuário, o rbash é apenas o primeiro passo.

Aqui está um blog com mais detalhes: link

Por exemplo, você precisa alterar o PATH do usuário para excluir os diretórios normais, como / bin, / sbin, / usr / bin, / usr / sbin. Adicione um novo diretório bin ao seu PATH e copie comandos seguros para ele.

Além disso, você precisa restringir os arquivos de inicialização do usuário (como o .bashrc) para impedir que eles alterem seu caminho dessa maneira.

Você também pode fazer um chroot para mais segurança.

Você poderia:

1. crie um grupo específico para "pode executar shells irrestritos"
2. defina a propriedade do executável bash para esse grupo
3. certifique-se de que todos os usuários desejem executar scripts ilimitados (como o usuário cron e outros serviços executados como)
4. define bits de permissão de execução para user = 1, group = 1, other = 0
5. repita para todos os outros shells e ferramentas com uma rota de escape de shell ...

Mas isso não é uma boa segurança, pois você está na posição de "enumerar o ruim" na etapa 5, que é essencialmente impossível, pois há muitas outras maneiras pelas quais um usuário pode sair do rbash em outro shell.

Uma alternativa melhor seria testar as cadeias chroot para seus usuários. Há um número razoável de tutoriais relevantes por aí, como este e is como dois exemplos (eles são os dois primeiros resultados de pesquisa para "usuário chroot", você pode querer olhar mais fundo ou talvez adicionar mais alguns termos de pesquisa para ver se consegue encontrar informações mais específicas para o seu ambiente). Wikipedia tem uma página sobre o assunto: a seção de limitações pode ser de particular interesse para garantir que a técnica possa fazer o que você é procurando por.