To jest polecenie lshell, które można uruchomić w bezpłatnym dostawcy hostingu OnWorks przy użyciu jednej z naszych wielu bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu MAC OS
PROGRAM:
IMIĘ
lshell - ograniczona powłoka
STRESZCZENIE
skorupa [OPCJE]
OPIS
skorupa zapewnia ograniczoną powłokę konfigurowaną dla każdego użytkownika. Konfiguracja jest wykonana całkiem
po prostu używając pliku konfiguracyjnego. W połączeniu z ssh autoryzowane_klucze lub / etc / shells
i / Etc / passwd , bardzo łatwo jest ograniczyć dostęp użytkownika do ograniczonego zestawu
dowództwo.
OPCJE
--konfig
Określ plik konfiguracyjny
--Dziennik
Określ katalog dziennika
--
Gdzie to *dowolny* parametr pliku konfiguracyjnego
-H, --help
Pokaż wiadomość pomocy
--wersja
Pokaż wersję
KONFIGURACJA
Możesz skonfigurować lshell poprzez jego plik konfiguracyjny:
On Linux -> /etc/lshell.conf
On * BSD -> /usr/{pakiet lokalny}/etc/lshell.conf
skorupa konfiguracja ma 4 typy sekcji:
[światowy] -> skorupa system konfiguracja (tylko 1)
[domyślny] -> skorupa domyślnym użytkownik konfiguracja (tylko 1)
[bla] -> UNIX nazwa użytkownika "bla" specyficzny konfiguracja
[grp:bar] -> UNIX Nazwa grupy "bar" specyficzny konfiguracja
Kolejność priorytetów podczas ładowania preferencji jest następująca:
1- Użytkownik konfiguracja
2- Zarządzanie konfiguracja
3- Domyślnie konfiguracja
[światowy]
ścieżka dziennika
ścieżka konfiguracyjna (domyślna to /var/log/lshell/)
poziom dziennika
0, 1, 2, 3 lub 4 (0: brak logów -> 4: rejestruje wszystko)
nazwa pliku dziennika
- Ustawić syslog aby zalogować się do syslog
- ustaw nazwę pliku logu, np. %u-%y%m%d (np. foo-20091009.log): %u -> nazwa użytkownika
%d -> dzień [1..31]
%m -> miesiąc [1..12]
%y -> rok [00..99]
%h -> czas [00:00..23:59]
nazwa_loga systemowego
jeśli używasz syslog, ustaw swoją nazwę logu (domyślnie: lshell)
zawiera_katalog
dołączyć katalog zawierający wiele plików konfiguracyjnych. Pliki te mogą tylko
zawierają konfigurację domyślną/użytkownika/grupy. Konfiguracja globalna będzie tylko
ładowany z domyślnego pliku konfiguracyjnego. Zmienna ta zostanie rozwinięta (np
/ścieżka/*.conf).
[domyślny] i / lub [Nazwa użytkownika] i / lub [grp:nazwa grupy]
aliasy
lista aliasów poleceń (podobna do dyrektywy aliasów basha)
dozwolony
listę dozwolonych poleceń lub ustaw na „all”, aby zezwolić na wszystkie polecenia w PATH użytkownika
dozwolona_ścieżka_cmd
lista ścieżek; wszystkie pliki wykonywalne znajdujące się w tej ścieżce będą dozwolone
ścieżka_środowiska
zaktualizuj zmienną środowiskową $PATH użytkownika (opcjonalnie)
zmienne_środowiskowe
ustaw zmienne środowiskowe (opcjonalnie)
zabroniony
lista zabronionych znaków lub poleceń
plik_historii
ustaw nazwę pliku historii. Można użyć symbolu wieloznacznego:
%u -> nazwa użytkownika (np. „/Dom/%u/.lhistoria')
historia_rozmiar
ustaw maksymalny rozmiar (w liniach) pliku historii
ścieżka_domowa (przestarzałe)
ustaw folder domowy swojego użytkownika. Jeśli nie określono, katalog domowy jest ustawiony na
zmienna środowiskowa $HOME. Ta zmienna zostanie usunięta w następnej wersji
lshell, użyj narzędzi swojego systemu, aby ustawić katalog domowy użytkownika. A
można użyć symbolu wieloznacznego:
%u -> nazwa użytkownika (np. „/Dom/%u')
Intro ustaw wprowadzenie, które będzie drukowane przy logowaniu
skrypt_logowania
zdefiniuj skrypt, który będzie uruchamiany przy logowaniu użytkownika
passwd hasło konkretnego użytkownika (domyślnie jest puste)
ścieżka lista ścieżek do geograficznego ograniczenia użytkownika. Możliwe jest użycie symboli wieloznacznych
(np. '/var/log/ap*').
podpowiedź ustaw format podpowiedzi użytkownika (domyślnie: nazwa użytkownika)
%u -> nazwa użytkownika
%h -> nazwa hosta
zachęta_krótka
ustaw monit o sortowanie aktualizacji bieżącego katalogu - ustaw na 1 lub 0 przessz lista poleceń
dozwolone do wykonywania przez ssh (np. rsync, rdiff-backup, scp itp.)
Scp zezwól lub zabroń korzystania z połączenia scp - ustaw na 1 lub 0
scpforce
wymuś pliki wysłane przez scp do określonego katalogu
scp_pobierz
ustaw na 0, aby zabronić pobierania scp (domyślnie jest to 1)
scp_upload
ustaw na 0, aby zabronić przesyłania scp (wartość domyślna to 1)
Sftp zezwól lub zabroń korzystania z połączenia sftp - ustaw na 1 lub 0.
OSTRZEŻENIE: Ta opcja nie będzie działać, jeśli korzystasz z usługi wewnętrznego sftp OpenSSH
(np. po skonfigurowaniu w chroot)
sudo_polecenia
lista dozwolonych poleceń, których można używać sudo(8). Jeśli ustawione na „all”, all
„dozwolone” polecenia będą dostępne poprzez sudo(8).
Można użyć flagi -u Sudo, aby uruchomić polecenie w inny sposób
użytkownika niż domyślny root.
Timer wartość w sekundach licznika sesji
rygorystyczny ścisłość rejestrowania. Jeśli ustawione na 1, każde nieznane polecenie jest uważane za zabronione,
i licznik ostrzeżeń użytkownika jest zmniejszany. Jeśli ustawione na 0, polecenie jest traktowane jako
nieznany, a użytkownik jest tylko ostrzegany (tzn. *** nieznana składnia)
licznik_ostrzeżeń
liczba ostrzeżeń, gdy użytkownik wprowadzi niedozwoloną wartość przed wyjściem
skorupa. Ustawić -1 aby wyłączyć licznik i po prostu ostrzec użytkownika.
SHELL WBUDOWANE POLECENIA
Oto zestaw poleceń, które są zawsze dostępne w lshell:
jasny czyści terminal
Wsparcie, ?
wydrukuj listę dozwolonych poleceń
historia
wydrukuj historię poleceń
ścieżka wyświetla listę wszystkich dozwolonych i zabronionych ścieżek
sudo wyświetla listę wszystkich dozwolonych poleceń Sudo
PRZYKŁADY
$ skorupa
Próbuje uruchomić lshell, używając domyślnego pliku konfiguracyjnego ${PREFIX}/etc/lshell.conf.
Jeśli się nie powiedzie, zostanie wydrukowane ostrzeżenie i lShell zostanie przerwany. Opcje powłoki są
załadowane z pliku konfiguracyjnego
$ skorupa --konfig /ścieżka/do/myconf.file --Dziennik /ścieżka/do/mójlog.log
Spowoduje to zastąpienie domyślnych opcji określonych dla konfiguracji i/lub pliku dziennika
UŻYWAĆ Sprawa
Podstawowym celem lshell była możliwość tworzenia kont powłoki z dostępem ssh i
ograniczyć swoje środowisko do kilku potrzebnych poleceń. W tym przykładzie użytkownik „foo” i
oba użytkownika „bar” należą do grupy UNIX „użytkownicy”:
Użytkownik bla:
- musi mieć dostęp / usr i / var ale nie / Usr / local
- użytkownik wszystkie polecenia w swojej PATH, ale „su”
- ma licznik ostrzeżeń ustawiony na 5
- ma ustawioną ścieżkę domową na '/home/users'
Użytkownik bar:
- musi mieć dostęp / Etc i / usr ale nie / Usr / local
- dozwolone są polecenia domyślne plus „ping” minus „ls”
- ścisłość jest ustawiona na 1 (co oznacza, że nie wolno mu wpisać nieznanego polecenia)
W tym przypadku mój plik konfiguracyjny będzie wyglądał mniej więcej tak:
# KONFIURACJA START
[światowy]
ścieżka dziennika : /var/log/lshell/
poziom dziennika : 2
[domyślny]
dozwolony : ['ls','pwd']
zabroniony : [';', „&”, '|']
licznik_ostrzeżeń : 2
Timer : 0
ścieżka : ['/ Etc', '/ usr']
ścieżka_środowiska : ':/ sbin:/ usr / bin /'
Scp : 1 # or 0
Sftp : 1 # or 0
przessz : ['rsync','ls']
aliasy : {'ls':'ls --color=auto','ll':'ls -l'}
[grp:użytkownicy]
licznik_ostrzeżeń : 5
przessz : - ['ls']
[bla]
dozwolony : 'wszystko' - ['ty']
ścieżka : ['/ var', '/ usr'] - ['/ Usr / local']
ścieżka_domowa : „/dom/użytkownicy”
[bar]
dozwolony : + ['świst'] - ['ls']
ścieżka : - ['/ Usr / local']
rygorystyczny : 1
scpforce : '/home/bar/przesłane/'
# KONFIURACJA KONIEC
UWAGI
Aby zalogować ostrzeżenia użytkownika do katalogu logowania (domyślnie /var/log/lshell/)
musisz najpierw utworzyć folder (jeśli jeszcze nie istnieje) i przenieść go do grupy lshell:
# Dodaj grupę --system skorupa
# mkdir /var/log/lshell
# chown :lskorupa /var/log/lshell
# chmod 770 /var/log/lshell
następnie dodaj użytkownika do skorupa Grupa:
# mod użytkownika -aG skorupa nazwa_użytkownika
Aby ustawić lshell jako domyślną powłokę dla użytkownika:
On Linux:
# chszi -s /usr/bin/lshell nazwa_użytkownika
On *BSD:
# chszi -s /usr/{pkg,lokalny}/bin/lshell nazwa_użytkownika
Użyj lshell online, korzystając z usług onworks.net
