Ssh

除了 chroot jail,還有其他方法可以限制 SSH 使用者嗎?

  • May 7, 2021

我需要為必須對我們的伺服器具有非常有限的訪問權限**的外國 SSH 使用者創建一個安全的環境。**那是:

  • 只能執行允許的命令
  • 只能使用允許的特定軟體
  • 在任何情況下都不得允許查看/修改/刪除他/她的根文件系統之外的文件夾和文件

在將jailkit 工具用於一個不需要太多定制並且執行良好的小型項目之前,我曾嘗試使用 chroot jail ,但這個項目要大得多,並且在允許的軟體和命令方面需要更多的定制。

對安全環境的要求是:

  • 使用基本命令的能力,例如 ls、cd、grep 等。
  • 執行 dotnet 腳本的能力
  • 利用正在執行的 RabbitMQ 代理的能力(代理在環境之外執行)
  • 利用正在執行的 PostgreSQL 數據庫的能力(數據庫在環境之外執行)

我聽說過multistrapdebootstrap,但我不確定這些工具是否足以解決我的問題。

這些伺服器在Debian OS v. 9 和 10上執行。所有必需的軟體都安裝在根文件系統中並且執行良好。我所需要的只是讓受限使用者能夠使用它而不會損壞/破壞根文件系統。

我的問題是:

  1. 有沒有我沒有提到的其他有用(更好)的工具可以解決我的問題?
  2. 我提到的軟體是否有任何有用的指南可以解決我的問題?

萬一有人面臨同樣的問題。我使用帶有獨立 SSH 伺服器的 Docker 容器解決了這個問題,並在其上安裝了所有必需的軟體。

引用自:https://serverfault.com/questions/1061319