現在、SSH 経由でサーバーに接続できるが、プロキシのみを経由するユーザー グループを設定しようとしています。このグループでは、ファイルを表示したり、コマンドを実行したりすることはできません。グループ内のユーザーは、キーの代わりにパスワード認証を使用することもできます。SSH サーバーは OpenSSH です。
これは同様のことを問う別の質問非常に良い回答です。彼の言っていることを完全に理解できず、ユーザーがサーバーをプロキシとして使用することは許可されていないと明記されているため、無意識に指示に従うことはできません。また、グループではなく単一のユーザー向けに書かれています。これを解決するために、 の彼の構成に次の変更を加えましたsshd_config。
Match Group limited-users
AllowTcpForwarding yes
#X11Forwarding no
#PermitTunnel no
#GatewayPorts no
AllowAgentForwarding no
PermitOpen localhost:1080
ForceCommand echo 'This account can only be used for [reason]'
特定の種類のシステム グループを作成する必要があるのではないかと考えていますが、よくわかりません。
そのようなロックダウンされたアカウントを作成するための推奨される方法があり、それを見逃しているだけでしょうか?
編集: 私はStackOverflowでこれによく似た2番目の質問を見つけましたしかし、彼らは再びキーを使用しますが、私はキーの代わりにパスワードを使用したいと思います。
編集 2: これはかなり人気のあるものであることがわかりました。これが一番役に立ったユーザーのシェルを、ログアウトするには任意のキーを押すだけに設定すればよく、そうしないとユーザーは何もできなくなるようです。
編集3: 密接に追っているときこの記事他の質問の 1 つから提供された次の回答は、ほぼ同じ内容ですが、2 つのグループが分離されていないものです。
正しければ更新します。
/usr/bin/tunnel_shell私はファイルを作成し、これを入れて、完全に役に立たないシェルを作成しました。
#!/bin/bash
trap '' 2 20 24
clear
echo -e "rn33[32mSSH tunnel started, shell disabled by the system administrator"
while [ true ] ; do
sleep 1000
done
exit 0
私はtunnel_groupというグループを作成しました。
groupadd tunnel_group
これを使用して、tunnel_user というユーザーを追加しました。-M は、このユーザーにホーム ディレクトリを与えません。-G tunnel_group は、このユーザーを tunnel_group (以前に作成したグループ) に追加します。-s は、このユーザーのシェルを、以前に作成した tunnel_shell ファイルに設定します。
useradd -M -G tunnel_group -s /usr/bin/tunnel_shell tunnel_user
次に、ユーザーのパスワードを設定します。
passwd tunnel_user
/etc/ssh/sshd_config/これをファイルの末尾に追加しました。
Match Group tunnel_group
AllowTcpForwarding yes
#X11Forwarding no
PermitTunnel yes
GatewayPorts yes
AllowAgentForwarding yes
PermitOpen localhost: 1080
ForceCommand echo 'This account can only be used for SOCKS and has be restricted accordingly.'