Ограничить SSH юзера выполнять только одну команду

1

2

Приветствую!
Есть потребность как-то реализовать такое:
Юзер коннектится по SSH к серверу, вводит логин-пароль, получает bash или что-то похожее, вводит одну команду с параметрами, созерцает выхлоп и уходит. НО! При попытке выполнить что-то кроме этой команды, юзер должен получать по рукам.
Как бы это лучше реализовать?

Ссылка

←	Можно ли заставить journald пересылать логи на удалённый syslog-сервер?

Провайдер ограничил использование роутеров

→

запилить юзеру вместе шелла свой скрипт?

infery
(05.03.13 10:30:52 MSK)

Ссылка

Скрипт в качества login shell.

sin_a ★★★★★
(05.03.13 10:31:15 MSK)

rssh в его home со скриптом который должен выполняться.

dada ★★★★★
(05.03.13 10:35:00 MSK)

Ссылка

Ответ на: комментарий от sin_a 05.03.13 10:31:15 MSK

Если бы меня такой вариант устраивал, я бы и тему не создавал.
Нет, мне нужно чтоб юзер получал именно шелл, но с такими ограничениями

af5 ★★★★★
(05.03.13 10:35:24 MSK) автор топика

Ответ на: комментарий от af5 05.03.13 10:35:24 MSK

Зависит от причины, вызвавшей задачу. Если нужна просто видимость то можно сделать скрипт имитирующий оболочку, но на любой ввод, кроме разрешённого, возвращающий требуемую ошибку.

sin_a ★★★★★
(05.03.13 10:59:12 MSK)

Ответ на: комментарий от sin_a 05.03.13 10:59:12 MSK

Да, что-то подобное и пытаюсь сделать

af5 ★★★★★
(05.03.13 11:01:51 MSK) автор топика

Ответ на: комментарий от af5 05.03.13 10:35:24 MSK

никак. Задача сводится к «как ограничить пользователя одной командой», без слова ssh

leave ★★★★★
(05.03.13 11:03:52 MSK)
Последнее исправление: leave 05.03.13 11:04:27 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от af5 05.03.13 11:01:51 MSK

while read i ; do echo «you cannot execute a command $i» ; done

Ну там типа if добавить и проверять на нужную команду и exit

upd: да, и prompt имитировать

sin_a ★★★★★
(05.03.13 11:06:24 MSK)
Последнее исправление: sin_a 05.03.13 11:07:05 MSK (всего исправлений: 1)

GNU Rush is a Restricted User Shell. It is intended for use with ssh, rsh and similar remote access programs. Using a sophisticated configuration file, Rush gives you complete control over the command lines that users execute, the usage of system resources, such as virtual memory, CPU time, etc. In particular, it allows to run remote programs in a chrooted environment.

anonymous
(05.03.13 11:11:07 MSK)

Ссылка

Ответ на: комментарий от sin_a 05.03.13 11:06:24 MSK

Сделал так:

#mkdir /mypath
#cd /mypath
#ln -s /usr/bin/nfdump
#ln -s /bin/rbash

#vi /bin/myrbash
#cat /bin/myrbash
  #!/bin/bash
  export PATH=/mypath
  rbash

#useradd nf1 -s /bin/myrbash
#passwd nf1

Теперь счастливый юзер может запускать nfdump с нужными параметрами, но ни чего более делать не может.

af5 ★★★★★
(05.03.13 12:29:45 MSK) автор топика

Ответ на: комментарий от af5 05.03.13 12:29:45 MSK

UPD
только цель не достигнута - paramiko зараза виснет...

af5 ★★★★★
(05.03.13 12:38:49 MSK) автор топика

Ответ на: комментарий от af5 05.03.13 12:38:49 MSK

UPD2
Ему не нравится мой myrbash
Если ставить просто rbash - то всё ок
Чем myrbash для paramiko может быть хуже rbash и как это исправить?

af5 ★★★★★
(05.03.13 13:04:51 MSK) автор топика

Ответ на: комментарий от af5 05.03.13 13:04:51 MSK

UPD3
Победил вражину
шеллом поставил rbash, а в /home/nf1 сделал .bash_profile в котором export PATH=/mypath

af5 ★★★★★
(05.03.13 13:19:38 MSK) автор топика

Ссылка

Ответ на: комментарий от af5 05.03.13 13:04:51 MSK

Чем myrbash для paramiko может быть хуже rbash и как это исправить?

Его нет в /etc/shells ?

sin_a ★★★★★
(05.03.13 15:22:22 MSK)

Ответ на: комментарий от sin_a 05.03.13 15:22:22 MSK

добавил в /etc/shells - та же фигня

af5 ★★★★★
(05.03.13 15:48:58 MSK) автор топика

Ссылка

почитай ещё про gitolite, там так же пользователя запирают в собственном шелле. Но есть нюанс: нужно авторизовываться по ключу, потому что в ~/.ssh/authorized_keys используется опция «COMMAND=...» в самом начале, перед указанием валидного pubkey

leader32 ★
(05.03.13 21:37:38 MSK)