Restringir lista de comandos por SSH

Navegue suas respostas
1

Como é parte do trabalho em cada Administrador do Sistema Linux entrar em muitos servidores de produção, o que significa que algo pode dar errado e quebrar uma máquina de produção. Há muitos casos em que alguém está cansado ou recebe uma ligação durante a noite e pode fazer "rm -rf test" em vez de "rm -rf test.1" por exemplo. Portanto, existem várias maneiras de prever algo assim e bloquear alguns comandos no nível do usuário ou no kernel, mas com o acesso root não será uma boa prática. Além disso, quando você se conecta a muitas máquinas (100-200), é difícil configurar para esquecer alguns comandos em todos eles.

Então eu estou procurando alguma maneira como você pode facilmente e com segurança isso pode ser alcançado. Ele deve estar funcionando somente quando você está logado via ssh e algumas vezes para ser removido. Então eu acho que algo como comando personalizado nas preferências no terminal / terminator / ssh agent / ou alguma outra ferramenta para linha de comando. Não tenho certeza se é possível, mas acho que será útil para muita gente.

    
por ValeriRangelov 19.02.2017 / 09:30

2 respostas

2

É possível limitar a execução de comandos via ssh, mas isso não estará disponível se você permitir um shell de login.

Uma maneira de fazer isso é através do arquivo authorized_keys e colocando command="/ bin / foo / bar" na frente da linha de chave.

Outra maneira mais segura é usar sudo e especificar o que você deseja permitir que um usuário aumente e execute. Se você costuma ter problemas com os usuários que estão removendo o teste, e não com o test.1, esse é o local correto para manter essa rede de segurança.

Se seus administradores tiverem ações regulares, talvez encapsulem as operações em /usr/local/bin scripts para que, se quiserem arrumar espaço em disco, esse script possa passar pelas tarefas normais de manutenção, talvez enviar logs para um local central ou apenas comprima alguns arquivos datados. Pode economizar algum tempo corrigindo problemas depois!

    
por 19.02.2017 / 09:54
1

Você deve considerar colocar uma linha de apoio ou de guerra usando o banner SSH. No entanto, você pode desativar a capacidade de alternar o usuário usando o comando 'su': 

sudo chmod u-s /bin/su

então, apenas o grupo sudo poderá fazer isso.

Além disso, tudo no diretório / etc / skel / será copiado para cada novo usuário criado, incluindo alguns aliases e lembretes.

    
por 19.02.2017 / 13:52

Tags

Obtenha IP do servidor DHCP, mas configure os servidores DNS estaticamente no Debian Como definir a hora exata em que o arquivo foi criado e / ou modificado?