Esiste un modo per creare un account utente in Solaris che consente agli utenti di eseguire un solo comando? Nessuna shell di login o altro. Potrei farlo con /usr/bin/falsedentro /etc/passwde convincere l'utente a farlo ssh <hostname> <command>, ma c'è un modo migliore per farlo?
Risposte:
È possibile utilizzare un comando forzato se gli utenti possono connettersi solo tramite ssh. In sostanza, ogni volta che l'utente si connette tramite ssh con una determinata chiave e un determinato nome utente, lo costringi ad eseguire un comando (o uno script o) che hai determinato in .ssh / authorized_keys. I comandi emessi dagli utenti verranno ignorati.
Per esempio:
# in .ssh/authorized_keys
command="cd /foo/bar && /path/to/scripts/my_script.sh arg1 arg2",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa public_key
È possibile impostare la shell di quell'utente su uno script che esegue il comando che si desidera consentire: ogni volta che l'utente accede, il comando viene eseguito, quindi l'utente viene disconnesso. E poiché non esiste una "shell completa", non devi avere a che fare con l'utente che prova cose funky;)
Mi chiedo se sia possibile farlo con RBAC e dare all'utente una shell privilegiata (pfsh, pfcsh o pfksh) e creare un profilo per i comandi che gli utenti potrebbero eseguire.