Насколько могут быть ограничены действия пользователя?

229
Alberto Martín

Мне нужно использовать сервер (Linux, Ubuntu) 'S' в качестве моста между клиентами и другими локальными серверами (LS), которые предлагают ряд услуг, таких как доступ к БД через Интернет или приложения, которые должны работать на них (другие LS ) ,

Реальные примеры:

Мне нужно, чтобы клиенты подключались к S через SSH, а затем они должны иметь возможность запускать firefox для доступа к LS1, чтобы управлять базой данных через Интернет.

Мне нужно, чтобы клиенты подключались к S через SSH, а затем они должны иметь возможность работать в приложениях S Java Dsktop, которые подключаются к внешним серверам для выполнения других задач.

Вкратце: мне нужно, чтобы клиенты подключались к S только для того, чтобы делать то, что от них ожидают (некоторые из них просто должны открыть экземпляр firefox, другие должны иметь возможность выполнить java.jar и т. Д.), И, надеюсь, они этого не сделают. больше ничего не делай

Что касается подключений, я могу легко использовать брандмауэр S, чтобы ограничить их разрешением подключений только к LS, но поскольку некоторым клиентам нравится экспериментировать на других компьютерах, я хотел бы также ограничить их действия помимо простой команды "$ firefox" или msgstr "$ java -jar someapp.jar".

Я использую Ubuntu 14.04 в качестве ОС на серверах. Очевидно, что я не могу ограничить учетные записи «просто запустить firefox» или «просто запустить этот .jar», но мне интересно знать следующее: насколько я могу ограничить действия этих учетных записей?

0
Вполне возможно ограничить сеанс SSH только одним исполняемым файлом. Этот исполняемый файл может затем позволить выполнить небольшой набор других команд, возможно, через меню. Посмотрите на поле `command` в файле` authorized_keys` или установите оболочку входа пользователя в / etc / passwd. Обратите внимание, что Firefox в частности, вероятно, может использоваться, чтобы делать несколько вещей, кроме простого просмотра веб-страницы. a CVn 8 лет назад 0
Вы также можете * chroot * их на ** S ** в ограниченном окружении с несколькими командами. см. [старый пример] (https://help.ubuntu.com/community/BasicChroot). meuh 8 лет назад 0
Спасибо обоим; на самом деле идея @Michael Kjörling кажется почти идеальным решением. Я тестирую его, и единственное, что я до сих пор не решил, - это избегать пользователей просматривать локальную файловую систему через веб-браузер (они должны просто получить доступ к предопределенному домену). На самом деле я принял во внимание ваше предположение о Firefox и вместо этого использую Midori. Alberto Martín 8 лет назад 0

0 ответов на вопрос

Похожие вопросы