Désactivation de toutes les commands sur SSH

Supposons que l'utilisation puisse ssh sur le server et peut exécuter FTP et se connecter à d'autres sources, download un virus et l'exécuter.

Est-il possible de forcer l'user à exécuter seulement certaines commands connues?

3 Solutions collect form web for “Désactivation de toutes les commands sur SSH”

de l' man sshd_config :

ForceCommand

Force l'exécution de la command spécifiée par ForceCommand en ignorant toute command fournie par le client et ~ / .ssh / rc si présent. La command est appelée en utilisant le shell de connection de l'user avec l'option -c. Cela s'applique à l'exécution de shell, de command ou de sous-système. Il est très utile dans un bloc Match. La command fournie initialement par le client est disponible dans la variable d'environnement SSH_ORIGINAL_COMMAND. La spécification d'une command de "internal-sftp" obligera l'utilisation d'un server sftp en cours qui ne nécessite aucun file de support lorsqu'il est utilisé avec ChrootDirectory

cela vous permet d'utiliser une enveloppe shell qui ne permet que des choses spécifiques. un exemple est rssh .

Si vous voulez seulement cette ressortingction pour des users spécifiques, utilisez l'option command=cmd dans le file known_hosts (documenté dans man sshd )

Peut-être que l'installation d'un environnement chroot pour vos users pourrait vous aider. Voir Comment puis-je chroot les connections ssh?

Une méthode, même si elle n'est pas parfaite, serait de créer une partition distincte pour les directorys d'accueil des users dans les endroits où ils ont un access en écriture. Il suffit de monter ces partitions noexec .

La configuration correcte des permissions du système de files sera généralement très efficace pour limiter les dégâts pouvant être effectués.

Si les users ne sont pas au less un peu dignes de confiance, alors c'est peut-être une mauvaise idée de leur donner un access SSH. Peut-être que vous devez configurer les machines virtuelles pour elles et les confiner à leur propre environnement.

  • Comment fonctionne Kerberos avec SSH?
  • Pourquoi ssh tunnel ne peut-il pas créer dans la boîte virtuelle ou qemu avec le mode force (-f)?
  • essayez de verrouiller le mot de passe mais pas d'input dans / etc / shadow
  • Authentification multi-niveaux facile pour sudo
  • SSH ne request pas de mot de passe, donne "permission refusée" immédiatement
  • Déconnection absolue du port SSH
  • Le panneau de contrôle CopSSH écrase sshd_config
  • SSH n'accepte que les connections peu après le démarrage
  • Vérifiez l'empreinte digitale pour la key ECDSA envoyée par l'hôte distant
  • La command forcée sur les permissions autorisées par ssh fusionne STDOUT et STDERR
  • login SSH lente d'une machine mais pas autre
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.