lshell - מקוון בענן

תָכְנִית:

שֵׁם

lshell - מעטפת מוגבלת

תַקצִיר

קליפה [אפשרויות]

תיאור

קליפה מספק מעטפת מוגבלת המוגדרת לכל משתמש. התצורה נעשית די
פשוט באמצעות קובץ תצורה. יחד עם ssh's מפתחות_מורשים או עם / וכו '/ קליפות
ו / etc / passwd , קל מאוד להגביל את גישת המשתמש לקבוצה מוגבלת של
פקודה.

אפשרויות

--config
ציין קובץ תצורה

--עֵץ
ציין את ספריית היומן

--
איפה הוא *כל* פרמטר של קובץ תצורה

-ח, - עזרה
הצג הודעת עזרה

--גִרְסָה
הצג גרסה

תְצוּרָה

אתה יכול להגדיר את lshell דרך קובץ התצורה שלו:

On לינוקס -> /etc/lshell.conf
On * BSD -> /usr/{pkg,local}/etc/lshell.conf

קליפה לתצורה יש 4 סוגי סעיפים:

[העולמי] -> קליפה מערכת תצורה (רק 1)
[ברירת מחדל] -> קליפה ברירת מחדל המשתמש תצורה (רק 1)
[פו] -> UNIX שם משתמש "פו" ספציפי תצורה
[grp:bar] -> UNIX שם הקבוצה "בָּר" ספציפי תצורה

סדר העדיפות בעת טעינת העדפות הוא הבא:

1- משתמש תצורה
2- קְבוּצָה תצורה
3- בְּרִירַת מֶחדָל תצורה

[העולמי]
logpath
נתיב תצורה (ברירת המחדל היא /var/log/lshell/)

רמת יומן
0, 1, 2, 3 או 4 (0: ללא יומנים -> 4: רישום הכל)

שם קובץ log
- מכוון ל syslog כדי להיכנס ל-syslog
- הגדר שם קובץ יומן, למשל %u-%y%m%d (כלומר foo-20091009.log): %u -> שם משתמש
%d -> יום [1..31]
%m -> חודש [1..12]
%y -> שנה [00..99]
%h -> זמן [00:00..23:59]

שם syslog
במקרה שאתה משתמש ב-syslog, הגדר את שם היומן שלך (ברירת מחדל: lshell)

include_dir
כולל ספרייה המכילה מספר קובצי תצורה. קבצים אלה יכולים רק
מכילים תצורת ברירת מחדל/משתמש/קבוצה. התצורה הגלובלית תהיה רק
נטען מקובץ תצורת ברירת המחדל. משתנה זה יורחב (למשל
/path/*.conf).

[ברירת מחדל] ו / או [שם משתמש] ו / או [grp:groupname]
כינויים
רשימת כינוי פקודות (בדומה להנחיית הכינוי של bash)

מותר
רשימה של הפקודות המותרות או מוגדרת ל'הכל' כדי לאפשר את כל הפקודות ב-PATH של המשתמש

נתיב_cmd
רשימה של נתיבים; כל קבצי ההפעלה בתוך נתיב זה יורשו

env_path
עדכן את משתנה הסביבה $PATH של המשתמש (אופציונלי)

env_vars
הגדר משתני סביבה (אופציונלי)

אסור
רשימה של תווים או פקודות אסורות

קובץ_היסטוריה
הגדר את שם קובץ ההיסטוריה. ניתן להשתמש בתו כללי:
%u -> שם משתמש (למשל '/בית/%u/.lhistory')

גודל_היסטוריה
הגדר את הגודל המרבי (בשורות) של קובץ ההיסטוריה

home_path (הוצא משימוש)
הגדר את תיקיית הבית של המשתמש שלך. אם לא צוין, ספריית הבית מוגדרת ל
משתנה הסביבה $HOME. משתנה זה יוסר בגרסה הבאה
של lshell, אנא השתמש בכלים של המערכת שלך כדי להגדיר את ספריית הבית של משתמש. א
ניתן להשתמש בתו כללי:
%u -> שם משתמש (למשל '/בית/%u')

intro הגדר את המבוא להדפסה בעת הכניסה

login_script
הגדר את הסקריפט להפעלה בעת כניסת המשתמש

פסח סיסמה של משתמש ספציפי (ברירת המחדל ריקה)

נתיב רשימת נתיבים להגבלת המשתמש מבחינה גיאוגרפית. אפשר להשתמש בתווים כלליים
(למשל '/var/log/ap*').

הפקודה הגדר את פורמט ההנחיות של המשתמש (ברירת מחדל: שם משתמש)
%u -> שם משתמש
%h -> שם מארח

prompt_short
הגדר הודעת מיון עדכון ספרייה נוכחי - הגדר ל-1 או 0 overssh רשימת פקודות
מותר לבצע על ssh (למשל rsync, rdiff-backup, scp וכו')

SCP לאפשר או לאסור את השימוש בחיבור scp - הגדר ל-1 או 0

scpforce
לאלץ קבצים שנשלחים דרך scp לספרייה ספציפית

scp_download
מוגדר ל-0 כדי לאסור הורדות scp (ברירת המחדל היא 1)

scp_upload
מוגדר ל-0 כדי לאסור העלאות scp (ברירת המחדל היא 1)

sftp לאפשר או לאסור את השימוש בחיבור sftp - מוגדר ל-1 או 0.

אזהרה: אפשרות זו לא תעבוד אם אתה משתמש בשירות ה-sftp הפנימי של OpenSSH
(למשל כאשר מוגדר ב-chroot)

sudo_commands
רשימה של הפקודות המותרות שניתן להשתמש בהן sudo(8). אם מוגדר ל'הכל', הכל
הפקודות 'מותרות' יהיו נגישות דרך sudo(8).

אפשר להשתמש בדגל -u sudo כדי להריץ פקודה כשונה
משתמש מאשר שורש ברירת המחדל.

שעון עצר ערך בשניות עבור טיימר הפגישה

קַפְּדָנִי הקפדה על רישום. אם מוגדר ל-1, כל פקודה לא ידועה נחשבת לאסורה,
ומונה האזהרה של המשתמש מצטמצם. אם מוגדר ל-0, הפקודה נחשבת כ
לא ידוע, והמשתמש מוזהר בלבד (כלומר *** סינתקס לא ידוע)

אזהרה_מונה
מספר האזהרות כאשר המשתמש מזין ערך אסור לפני היציאה ממנו
קליפה. מכוון ל -1 כדי להשבית את המונה, ורק להזהיר את המשתמש.

SHELL BUILTIN פקודות

להלן קבוצת הפקודות שתמיד זמינות עם lshell:

ברור מנקה את הטרמינל

עזרה, ?
להדפיס את רשימת הפקודות המותרות

היסטוריה
להדפיס את היסטוריית הפקודות

lpath מפרט את כל הנתיבים המותרים והאסורים

lsudo מפרט את כל הפקודות המותרות ב-sudo

דוגמאות

$ קליפה
מנסה להפעיל את lshell באמצעות ברירת המחדל ${PREFIX}/etc/lshell.conf כקובץ תצורה.
אם הוא נכשל, מודפסת אזהרה ו-lshell נקטעת. אפשרויות lshell הן
נטען מקובץ התצורה

$ קליפה --config /path/to/myconf.file --עֵץ /path/to/mylog.log
זה יעקוף את אפשרויות ברירת המחדל שצוינו עבור תצורה ו/או קובץ יומן

להשתמש מקרה

המטרה העיקרית של lshell, הייתה להיות מסוגל ליצור חשבונות מעטפת עם גישת ssh ו
להגביל את הסביבה שלהם לזוג פקודות נחוצות. בדוגמה זו, משתמש 'foo' ו
המשתמש 'סרגל' שניהם שייכים לקבוצת UNIX 'משתמשים':

משתמש פו:
- חייב להיות מסוגל לגשת / usr ו / var אך לא / usr / local
- משתמש כל הפקודות ב-PATH שלו אבל 'su'
- בעל מונה אזהרה מוגדר ל-5
- נתיב הבית שלו מוגדר ל'/home/users'

משתמש בָּר:
- חייב להיות מסוגל לגשת /וכו ו / usr אך לא / usr / local
- מותרות פקודות ברירת מחדל בתוספת 'פינג' מינוס 'ls'
- קפדנות מוגדרת ל-1 (כלומר אסור לו להקליד פקודה לא ידועה)

במקרה זה, קובץ התצורה שלי ייראה בערך כך:

# קונפיורציה התחלה
[העולמי]
logpath : /var/log/lshell/
רמת יומן : 2

[ברירת מחדל]
מותר : ['ls','pwd']
אסור : [';', '&', '|']
אזהרה_מונה : 2
שעון עצר : 0
נתיב : ['/וכו', '/ usr']
env_path : ':/ sbin:/ usr / bin /'
SCP : 1 # or 0
sftp : 1 # or 0
overssh : ['rsync','ls']
כינויים : {'ls':'ls --color=auto','ll':'ls -ל'}

[grp:users]
אזהרה_מונה : 5
overssh : - ['ls']

[פו]
מותר : 'את כל' - ['סו']
נתיב : ['/ var', '/ usr'] - ['/ usr / local']
home_path : '/בית/משתמשים'

[בָּר]
מותר : + ['פינג'] - ['ls']
נתיב : - ['/ usr / local']
קַפְּדָנִי : 1
scpforce : '/home/bar/uploads/'
# קונפיורציה הסוף

אורים

על מנת לרשום אזהרות של משתמש לתוך ספריית הרישום (ברירת מחדל /var/log/lshell/)
תחילה עליך ליצור את התיקיה (אם היא עדיין לא קיימת) ולשנות אותה לקבוצת lshell:

# קבוצה נוספת --מערכת קליפה
# mkdir /var/log/lshell
# chown :lshell /var/log/lshell
# chmod 770 /var/log/lshell

לאחר מכן הוסף את המשתמש ל- קליפה קְבוּצָה:

# רגיל -aG קליפה USER_NAME

על מנת להגדיר את lshell כמעטפת ברירת מחדל עבור משתמש:

On Linux you
# צ'ש -s /usr/bin/lshell USER_NAME

On *BSD:
# צ'ש -s /usr/{pkg,local}/bin/lshell USER_NAME

השתמש ב-lshell באינטרנט באמצעות שירותי onworks.net