标题可能让我的问题看起来很荒谬,但是,请听我说完。
概述:我正在创建一个项目,希望我的用户能够连接到他们使用的服务器以审核其真实性。该网站与安全、隐私和加密有关,并且作为敏感领域,我认为没有比 100% 透明更好的方式来证明它是真实的。
问题:是否有一种安全的方法来创建一个极其有限的用户帐户(仅限 cd、ls 和 less),该帐户具有永久空白密码并且无法升级权限?这台机器上唯一的数据几乎就是基本操作系统和产品源代码。
答案1
您将需要使用您选择的脚本语言创建一个受限的命令 shell,然后设置 sshd 来强制您指定的组使用这个受限的 shell。或者按照@Neil H Watson 的说法,rbash 是一个不错的选择。
或者
您还可以将密钥限制为允许的命令(在authorized_keys文件中)。
即用户无法通过 ssh 登录,然后拥有一组受限制的命令,而是只能通过 ssh 执行这些命令(例如“ssh somehost bin/showlogfile”)
以供参考:
http://www.linuxjournal.com/magazine/paranoid-penguin-managing-ssh-scripts-and-cron-jobs?page=0,0