限制Shell,正如Rsh和Scponly让系统管理员限制Linux用户可以做哪些操作,你可以创建用户,将被允许通过Scp复制文件,但不会被允许登录到系统的命令行。这是非常重要的安全功能,应考虑每个系统管理员用户,以防止未经授权的活动,例如通过SSH。
如果你有一些在线存储,用于上传超过Scp/ SSH或rsync从远程主机的备份数据,那么,强烈建议使用限制弹这些传入的连接,并确保即使攻击者得到了用户名/密码(或密钥),那么他(或她)将无法打入您的系统。
Scponly是极其简单的受限Shell,用户帐户具有Scponly的二进制的壳将无法做任何事情将数据从远程主机通过Scp协议或通过rsync/ Scp的除外。 RSSH提供多一点的功能:您可以限制用户使用选定的协议,如Scp,SFTP,rsync的,CVS或Rdist的Chroot环境或不。
安装:
我更喜欢使用yum或aptitude来安装这类软件像RSSH或Scponly的,最快的方法就是尝试以下其中一项命令,根据您的需要:
- apt-get install rssh
- apt-get install Scponly
- yum install rssh
- yum install Scponly
如果有问题,在你的Linux发行版的信息库中找到所需的受限Shell,然后你应该下载源代码,并做一些。/ configure时,和make install。这里是链接:latest rssh .tar.gz, latest Scponly .tgz.
配置:
Scponly的,不需要任何配置,开箱,所以你就应该将其设置为一个Shell的用户帐户。下面是一些例子。
用Scponly创建一个新的账号:
- useradd -s /usr/sbin/Scponly user1
用该用户账号用rssh作为Shell:
- usermod -s /usr/sbin/rssh user2
/usr/sbin/Scponly是Scponly的二进制可执行文件。
RSSH文本配置文件通常存储在/etc/rssh.conf中的。您可以设置每个用户的设置或配置全局限制使用RSSH所有账目。默认rssh.conf文件有很好的注释,所以不应该有任何问题,你需要配置RSSH。在同一时间,在这里有一些例子。
如果你想限制所有用户Scp和rsync的才应该取消注释在rssh.conf行,象下面这样:
- allowScp
- #allowsftp
- #allowcvs
- #allowrdist
- allowrsync
现在来每个用户的例子。允许用户彼得是仅使用Scp协议,对以下符合在rssh.conf将做到这一点:
- user=sbk:022:00001:
允许用户ann只可以Scp和rsync:
- user=sbk:022:10001:
正如你可以看到每个用户设置启用的协议指定为11000(Scp,SFTP),11111(Scp,SFTP,CVS,rdist的,rsync等)或00000(无协议启用)。在上面的例子中指定的umask022。
测试:
让我们假设你已经创建user1和只有Scp和rsync的使用RSSH启用。尝试访问user1的帐号下的SSH服务器通过将结束与下面的输出:
- artiomix$ ssh user1@1.2.3.4
- user1@1.2.3.4's password:
- This account is restricted by rssh.
- Allowed commands: Scp rsync
- If you believe this is in error, please contact your system administrator.
- Connection to 1.2.3.4 closed.
与此同时Scp过户工作没有问题:
- artiomix$ Scp -P 23451 /etc/test.file user1@1.2.3.4:/tmp
- user1@1.2.3.4's password:
- test.file 100% 983 1.0KB/s 00:00
进一步阅读:
Rssh支持Chroot环境对于Rsync、Rsync和其他的传输协议。这意味着你不仅可以限制用户通过命令他们也可以使用他们到达的文件系统。例如,User1可以可以chroot/chroot_user1,所以它不能被用来复制的东西从/etc目录的服务器或/var/ www下面。这里有一个Chroot在RSSH中是不错的手册。
原文出处:http://www.linuxscrew.com/2012/07/05/linux-restricted-Shells-rssh-and-Scponly/
