Создание учетной записи UNIX, которая только выполняет одну команду
Как Вы уже заметили, описание Red Hat неопределенно о том, что на самом деле включает каждый комплект. Ниже список групп пакета, которые установит каждый комплект.
Можно получить больше информации о какой группа пакета путем выполнения yum groupinfo foo-bar. Упомянутые ниже имена отличаются от какой yum grouplist перечислит, но groupinfo cobase, консольный Интернет, ядро, отладка, клиент каталога, контроль аппаратных средств, платформа Java, большие системы, network-file-system-client, производительность, perl-время-выполнения, сервер-platformmmand все еще работает над ними.
Я получил это путем монтирования http://mirror.centos.org/centos-6/6/os/x86_64/images/install.img и рассмотрения/usr/lib/anaconda/installclasses/rhel.py в изображении.
Рабочий стол: основа, основной рабочий стол, ядро, отладка, отладка рабочего стола, настольная платформа, клиент каталога, шрифты, общий рабочий стол, графические административные средства, методы ввода, интернет-приложения, интернет-браузер, платформа Java, наследие-x, network-file-system-client, пакет офисных программ, клиент печати, клиенты удаленного рабочего стола, серверная платформа, x11
Минимальный Рабочий стол: основа, основной рабочий стол, ядро, отладка, отладка рабочего стола, настольная платформа, клиент каталога, шрифты, методы ввода, интернет-браузер, платформа Java, наследие-x, network-file-system-client, клиент печати, клиенты удаленного рабочего стола, серверная платформа, x11
Минимальный: ядро
Основной Сервер: основа, консольный Интернет, ядро, отладка, клиент каталога, контроль аппаратных средств, платформа Java, большие системы, network-file-system-client, производительность, perl-время-выполнения, серверная платформа
Сервер базы данных: основа, консольный Интернет, ядро, отладка, клиент каталога, контроль аппаратных средств, платформа Java, большие системы, network-file-system-client, производительность, perl-время-выполнения, серверная платформа, mysql-клиент, mysql, postgresql-клиент, postgresql, системные административные средства
Веб-сервер: основа, консольный Интернет, ядро, отладка, клиент каталога, платформа Java, mysql-клиент, network-file-system-client, производительность, perl-время-выполнения, php, postgresql-клиент, серверная платформа, turbogears, веб-сервер, веб-сервлет
Виртуальный Хост: основа, консольный Интернет, ядро, отладка, клиент каталога, контроль аппаратных средств, платформа Java, большие системы, network-file-system-client, производительность, perl-время-выполнения, серверная платформа, виртуализация, клиент виртуализации, платформа виртуализации
Рабочая станция Разработки программного обеспечения: дополнительный-devel, основной, основной настольный, ядро, отладка, отладка рабочего стола, настольная платформа, desktop-platform-devel, разработка, клиент каталога, затмение, emacs, шрифты, общий рабочий стол, графические административные средства, графика, методы ввода, интернет-браузер, платформа Java, наследие-x, network-file-system-client, производительность, perl-время-выполнения, клиент печати, клиенты удаленного рабочего стола, серверная платформа, server-platform-devel, техническая запись, tex, виртуализация, клиент виртуализации, платформа виртуализации, x11
Вы могли, использовал принудительную команду, если пользователи могут только соединиться через ssh. По существу, каждый раз, когда пользователь соединяется через ssh с определенным ключом и определенным именем пользователя, Вы вынуждаете его выполнить команду (или сценарий, или) Вы определили в .ssh/authorized_keys. Будут проигнорированы команды, данные пользователями.
Например:
# in .ssh/authorized_keys
command="cd /foo/bar && /path/to/scripts/my_script.sh arg1 arg2",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa public_key
-
1Хорошо, Вы были оба правы. Что я сделанный был создан сценарий, который предоставляет меню на подсказке и использовал принудительную команду проверки в .ssh/authorized_keys на сервере перед ключом для авторизованного пользователя. Это теперь включает ему к ssh к серверу, и при подсказке дан хорошее меню с несколькими командами для выполнения. Ничто иное не может быть выполнено. Счастливые дни! – Will Dowling 29.10.2010, 15:44
-
2Отредактированный; Вам нужны эти опции защитить принудительную команду: "без перенаправления портов, no-X11-forwarding, no-agent-forwarding, без имуществ". делать-ошибка – Tobu 17.04.2013, 14:00
Вы могли установить оболочку того пользователя к сценарию, просто выполняющему команду, которую Вы хотите позволить: Каждый раз, когда пользователь входит в систему, команда выполняется, затем пользователь выходится из системы. И с тех пор нет никакой "полной оболочки", Вы не должны иметь дело с пользователем, пробующим броский материал ;)
Мне интересно, можно ли сделать это с помощью RBAC, предоставив пользователю привилегированную оболочку (pfsh, pfcsh или pfksh) и создав профиль для команды, которые пользователю (-ям) будет разрешено запускать.