Limit SSH - bash без команд

Question

Так что я работал над этим в течение некоторого времени. Хотелось бы узнать, есть ли лучший путь или я на правильном пути.

Я бы хотел разрешить некоторым пользователям входить на мой сервер через SSH, а затем иметь туннель squid через это соединение SSH.

Однако сложность заключается в том, что я не хочу, чтобы эти пользователи могли выполнять ЛЮБЫЕ команды. Я вообще ничего не имею в виду.

Итак, на этом этапе я настроил Jail via - jailkit. Затем конкретного пользователя помещают в тюрьму и передают оболочку bash в качестве оболочки.

Следующим шагом будет удаление всех команд в каталогах / jail / bin / и т. Д., Чтобы они не могли выполнять какие-либо команды.

Я на правильном пути? Что бы вы предложили?

Кроме того ... Я вижу, что это даст им много ошибок в командах, не найденных ... как мне их устранить.

Есть ли какая-нибудь другая оболочка, которую я мог бы дать им, чтобы она ничего не позволяла?

Answer 1

Вы можете установить для их оболочки что-то вроде / bin / true, или, может быть, простой скрипт, который будет выводить информационное сообщение, а затем входить в систему с помощью ssh -N (см. Страницу руководства ssh).Я считаю, что это позволяет им использовать переадресацию портов без действительной оболочки в системе.

РЕДАКТИРОВАТЬ:

Эквивалентом ssh -N в PuTTY является проверка "Не запускать оболочку или«Команда вообще» на его вкладке конфигурации SSH (Соединение-> SSH).

EDIT2:

В качестве альтернативы этому вы можете использовать скрипт, который входит в бесконечный цикл ожидания.Пока это не будет прервано с помощью Ctrl-C, соединение останется живым.Я только что попробовал это:

#!/bin/sh

echo "DNSH: Do-Nothing Shell"

while sleep 3600; do :; done

Если вы используете это как оболочку (желательно с более полезным сообщением), ваши пользователи смогут использовать переадресацию портов без реальной оболочки и без необходимости знать о ssh-Н и друзья.