Désactivation de toutes les commands sur SSH

Supposons que l'utilisation puisse ssh sur le server et peut exécuter FTP et se connecter à d'autres sources, download un virus et l'exécuter.

Est-il possible de forcer l'user à exécuter seulement certaines commands connues?

3 Solutions collect form web for “Désactivation de toutes les commands sur SSH”

de l' man sshd_config :

ForceCommand

Force l'exécution de la command spécifiée par ForceCommand en ignorant toute command fournie par le client et ~ / .ssh / rc si présent. La command est appelée en utilisant le shell de connection de l'user avec l'option -c. Cela s'applique à l'exécution de shell, de command ou de sous-système. Il est très utile dans un bloc Match. La command fournie initialement par le client est disponible dans la variable d'environnement SSH_ORIGINAL_COMMAND. La spécification d'une command de "internal-sftp" obligera l'utilisation d'un server sftp en cours qui ne nécessite aucun file de support lorsqu'il est utilisé avec ChrootDirectory

cela vous permet d'utiliser une enveloppe shell qui ne permet que des choses spécifiques. un exemple est rssh .

Si vous voulez seulement cette ressortingction pour des users spécifiques, utilisez l'option command=cmd dans le file known_hosts (documenté dans man sshd )

Peut-être que l'installation d'un environnement chroot pour vos users pourrait vous aider. Voir Comment puis-je chroot les connections ssh?

Une méthode, même si elle n'est pas parfaite, serait de créer une partition distincte pour les directorys d'accueil des users dans les endroits où ils ont un access en écriture. Il suffit de monter ces partitions noexec .

La configuration correcte des permissions du système de files sera généralement très efficace pour limiter les dégâts pouvant être effectués.

Si les users ne sont pas au less un peu dignes de confiance, alors c'est peut-être une mauvaise idée de leur donner un access SSH. Peut-être que vous devez configurer les machines virtuelles pour elles et les confiner à leur propre environnement.

  • autossh ne tue pas ssh lors du lien vers le bas
  • Forcer la connection SSH via une interface différente
  • interrogez Redshift sur plusieurs sauts SSH
  • Comment puis-je sudo sur sshfs?
  • Traiter de la force brute Attaque ftp
  • Comment spécifier une key SSH pour Hudson avec un plugin git?
  • Connectez-vous comme user régulier et devenez root
  • Que peut-on apprendre d'un user issu d'une tentative de SSH échouée?
  • Comment puis-je bloquer un expéditeur de messagerie en utilisant SSH
  • login SSH à localhost ssh_exchange_identification: connection fermée par hôte distant
  • SSH dans Fedora 17 ne fonctionnera pas avec de nouveaux users
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.