OVH Community, your new community space.

Blokowanie określonych poleceń userowi.


infern
29-05-2012, 06:44
Zablokowanie wszystkich komend zrobiłbym za pomocą ACL (np. zakaz dostępu do katalogów z narzędziami /bin /usr/bin itd. ) i ewentualnie sukcesywnie odblokowywał polecenia.

Co do IP per user dla ssh:
Kod:
AllowUsers root@4.2.2.2 admin@4.2.2.3

desavil
28-05-2012, 17:46
Witacie!

Postanowiłem zmienić działanie mojego systemu.
Mianowicie - obecnie aplikacje uruchamiam na swoim serwerze za pomocą serwera nanoweb, ponieważ zarówno na apache2 jak i lighttpd przy dużej ilości procesów się zawieszało i wszystko wyłączało. Takie rozwiązanie działa już u mnie bardzo długo. Dzięki niemu za pomocą PHP pobieram sobie określone dane oraz wykonuję/uruchamiam dane programy.

Przyszedł czas na zmianę, zastosowanie bardziej odpowiedniego dla tego celu rozwiązania.

Na serwerach "dzieciach" tworzyłbym użytkownika, który ma zablokowane wszystkie komendy (w celu bezpieczeństwa) oraz ma możliwość wykonywania określonych, np. może uruchamiać dane programy, tworzyć katalogi itp. (to sobie już samemu ustalam). Problem w tym, w jaki sposób mogę takie coś zrobić - takie blokowanie. Dodatkowo, chciałbym ustawić aby na tego konkretnego użytkownika można było się logować przez ssh tylko z określonych adresów IP.

Na serwerze "matce" łączę się z serwerami "dziećmi" za pomocą libssh2 (w PHP) i wykonuję sobie odpowiednie mi komendy (obecnie robię to za pomocą CURL i rozwiązania z nanoweb) i w starym przypadku niema problemu z ograniczeniem dostępu, gdyż na warunkach jest określone co użytkownik może konkretnie wykonywać, w przypadku bezpośredniego połączenia z SSH może praktycznie wszystko, co jest nie bezpieczne, np. będzie jakiś błąd w skrypcie lub na serwerze matce i ktoś, np. z tego konta coś "nabroi".

Pozdrawiam.