Đây là lệnh lshell có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
lshell - Shell có giới hạn
SYNOPSIS
vỏ [LỰA CHỌN]
MÔ TẢ
vỏ cung cấp một trình bao giới hạn được định cấu hình cho mỗi người dùng. Cấu hình được thực hiện khá
chỉ cần sử dụng một tệp cấu hình. Kết hợp với ssh's ủy quyền Hoặc với / etc / shell
và / etc / passwd , rất dễ dàng để hạn chế quyền truy cập của người dùng vào một nhóm hạn chế
chỉ huy.
LỰA CHỌN
--config
Chỉ định tệp cấu hình
--log
Chỉ định thư mục nhật ký
-
ở đâu là * bất kỳ thông số tệp cấu hình * nào
-NS, --Cứu giúp
Hiển thị thông báo trợ giúp
--phiên bản
Hiển thị phiên bản
CẤU HÌNH
Bạn có thể định cấu hình lshell thông qua tệp cấu hình của nó:
On Linux -> /etc/lshell.conf
On * BSD -> / usr /{pkg, local} /etc/lshell.conf
vỏ cấu hình có 4 loại phần:
[toàn cầu] -> vỏ hệ thống cấu hình (chỉ có 1)
[vỡ nợ] -> vỏ mặc định người sử dụng cấu hình (chỉ có 1)
[foo] -> UNIX tên truy nhập "foo" riêng cấu hình
[grp: bar] -> UNIX tên nhóm "quán ba" riêng cấu hình
Thứ tự ưu tiên khi tải tùy chọn như sau:
1- người sử dang cấu hình
2- Nhóm cấu hình
3- Mặc định cấu hình
[toàn cầu]
lối đi
đường dẫn cấu hình (mặc định là / var / log / lshell /)
mức độ đăng nhập
0, 1, 2, 3 hoặc 4 (0: không có nhật ký -> 4: ghi nhật ký mọi thứ)
tên tệp nhật ký
- đặt thành syslog để đăng nhập vào nhật ký hệ thống
- đặt tên tệp nhật ký, ví dụ% u-% y% m% d (tức là foo-20091009.log): %u -> tên người dùng
%d -> ngày [1..31]
%m -> tháng [1..12]
%y -> năm [00..99]
%h -> thời gian [00: 00..23: 59]
tên hệ thống
trong trường hợp bạn đang sử dụng nhật ký hệ thống, hãy đặt tên nhật ký của bạn (mặc định: lshell)
bao gồm_dir
bao gồm một thư mục chứa nhiều tệp cấu hình. Những tệp này chỉ có thể
chứa cấu hình mặc định / người dùng / nhóm. Cấu hình chung sẽ chỉ là
được tải từ tệp cấu hình mặc định. Biến này sẽ được mở rộng (ví dụ:
/path/*.conf).
[vỡ nợ] và / hoặc [Username] và / hoặc [grp: groupname]
bí danh
danh sách bí danh lệnh (tương tự như chỉ thị bí danh của bash)
cho phép
danh sách các lệnh được phép hoặc được đặt thành 'tất cả' để cho phép tất cả các lệnh trong PATH của người dùng
allow_cmd_path
một danh sách các đường dẫn; tất cả các tệp thực thi bên trong đường dẫn này sẽ được phép
env_path
cập nhật biến môi trường $ PATH của người dùng (tùy chọn)
env_vars
đặt các biến môi trường (tùy chọn)
cấm
danh sách các ký tự hoặc lệnh bị cấm
Tập tin lịch sử
đặt tên tệp lịch sử. Một ký tự đại diện có thể được sử dụng:
%u -> tên người dùng (ví dụ: '/nhà/% u / .lhistory ')
history_size
đặt kích thước tối đa (tính bằng dòng) của tệp lịch sử
đường dẫn nhà (không dùng nữa)
đặt thư mục chính của người dùng của bạn. Nếu không được chỉ định, thư mục chính được đặt thành
biến môi trường $ HOME. Biến này sẽ bị xóa trong phiên bản tiếp theo
của lshell, vui lòng sử dụng các công cụ của hệ thống của bạn để đặt thư mục chính của người dùng. MỘT
ký tự đại diện có thể được sử dụng:
%u -> tên người dùng (ví dụ: '/nhà/% u ')
intro đặt phần giới thiệu để in khi đăng nhập
login_script
xác định tập lệnh để chạy khi người dùng đăng nhập
passwd mật khẩu của người dùng cụ thể (mặc định là trống)
con đường danh sách đường dẫn để hạn chế người dùng về mặt địa lý. Có thể sử dụng các ký tự đại diện
(ví dụ: '/ var / log / ap *').
nhanh chóng đặt định dạng lời nhắc của người dùng (mặc định: tên người dùng)
%u -> tên người dùng
%h -> tên máy chủ
nhắc_ngắn
đặt nhắc nhở sắp xếp cập nhật thư mục hiện tại - đặt thành 1 hoặc 0 quá lố danh sách lệnh
được phép thực thi qua ssh (ví dụ: rsync, rdiff-backup, scp, v.v.)
Scp cho phép hoặc cấm sử dụng kết nối scp - đặt thành 1 hoặc 0
lực lượng cảnh sát
buộc các tệp được gửi qua scp đến một thư mục cụ thể
scp_download
đặt thành 0 để cấm tải xuống scp (mặc định là 1)
scp_upload
đặt thành 0 để cấm tải lên scp (mặc định là 1)
sftp cho phép hoặc cấm sử dụng kết nối sftp - đặt thành 1 hoặc 0.
CẢNH BÁO: Tùy chọn này sẽ không hoạt động nếu bạn đang sử dụng dịch vụ Internal-sftp của OpenSSH
(ví dụ: khi được định cấu hình trong chroot)
lệnh sudo_
danh sách các lệnh được phép có thể được sử dụng với sudo(số 8). Nếu được đặt thành ´all ', tất cả
các lệnh 'được phép' sẽ có thể truy cập được thông qua sudo(8).
Có thể sử dụng cờ -u sudo để chạy một lệnh khác
người dùng hơn gốc mặc định.
bộ đếm thời gian một giá trị tính bằng giây cho bộ hẹn giờ phiên
khắt khe khai thác nghiêm ngặt. Nếu được đặt thành 1, bất kỳ lệnh nào không xác định được coi là bị cấm,
và bộ đếm cảnh báo của người dùng bị giảm. Nếu được đặt thành 0, lệnh được coi là
không xác định và người dùng chỉ được cảnh báo (tức là *** cú pháp không xác định)
cảnh báo_counter
số lượng cảnh báo khi người dùng nhập giá trị bị cấm trước khi thoát khỏi
lshell. Đặt thành -1 để tắt bộ đếm và chỉ cảnh báo người dùng.
SHELL ĐƯỢC XÂY DỰNG TRONG HÀNG
Đây là tập hợp các lệnh luôn có sẵn với lshell:
trong sáng xóa thiết bị đầu cuối
Cứu giúp, ?
in danh sách các lệnh được phép
lịch sử
in lịch sử lệnh
đường dẫn liệt kê tất cả đường dẫn được phép và bị cấm
lsudo liệt kê tất cả các lệnh được phép sudo
VÍ DỤ
$ vỏ
Cố gắng chạy lshell bằng cách sử dụng mặc định $ {PREFIX} /etc/lshell.conf làm tệp cấu hình.
Nếu nó không thành công, một cảnh báo sẽ được in và lshell bị gián đoạn. tùy chọn lshell là
được tải từ tệp cấu hình
$ vỏ --config /path/to/myconf.file --log /path/to/mylog.log
Điều này sẽ ghi đè các tùy chọn mặc định được chỉ định cho cấu hình và / hoặc tệp nhật ký
SỬ DỤNG TRƯỜNG HỢP
Mục tiêu chính của lshell là có thể tạo tài khoản shell với quyền truy cập ssh và
giới hạn môi trường của họ ở một vài lệnh cần thiết. Trong ví dụ này, Người dùng 'foo' và
người dùng 'bar' đều thuộc nhóm UNIX 'người dùng':
người sử dang foo:
- phải có thể truy cập / usr và / var nhưng không / usr / local
- người dùng tất cả lệnh trong PATH của anh ấy nhưng 'su'
- có bộ đếm cảnh báo được đặt thành 5
- đã đặt đường dẫn về nhà của anh ấy thành '/ home / users'
người sử dang quán ba:
- phải có thể truy cập / Etc và / usr nhưng không / usr / local
- được cho phép các lệnh mặc định cộng với 'ping' trừ 'ls'
- nghiêm ngặt được đặt thành 1 (nghĩa là anh ta không được phép gõ lệnh không xác định)
Trong trường hợp này, tệp cấu hình của tôi sẽ trông giống như sau:
# CHỨNG MINH BẮT ĐẦU
[toàn cầu]
lối đi : / var / log / lshell /
mức độ đăng nhập : 2
[vỡ nợ]
cho phép : ['ls', 'pwd']
cấm : [';', '&', '|']
cảnh báo_counter : 2
bộ đếm thời gian : 0
con đường : ['/ Etc', '/ usr']
env_path : ':/ sbin:/ usr / bin /'
Scp : 1 # or 0
sftp : 1 # or 0
quá lố : ['rsync', 'ls']
bí danh : {'ls': 'ls --color = auto ',' ll ':' ls -l '}
[grp: người dùng]
cảnh báo_counter : 5
quá lố : - ['ls']
[foo]
cho phép : 'tất cả các' - ['su']
con đường : ['/ var', '/ usr'] - ['/ usr / local']
đường dẫn nhà : '/ home / users'
[quán ba]
cho phép : + ['ping'] - ['ls']
con đường : - ['/ usr / local']
khắt khe : 1
lực lượng cảnh sát : '/ home / bar / uploads /'
# CHỨNG MINH END
GHI CHÚ
Để ghi các cảnh báo của người dùng vào thư mục ghi nhật ký (mặc định / var / log / lshell /),
bạn phải nhanh chóng tạo thư mục (nếu nó chưa tồn tại) và cắt nó thành nhóm lshell:
# thêm nhóm --hệ thống vỏ
# mkdir / var / log / lshell
# chown : lshell / var / log / lshell
# chmod 770 / var / log / lshell
sau đó thêm người dùng vào vỏ nhóm:
# người dùng -aG vỏ user_name
Để đặt lshell làm trình bao mặc định cho người dùng:
On Linux:
# chsh -s / usr / bin / lshell user_name
On * BSD:
# chsh -s / usr /{pkg, local} / bin / lshell user_name
Sử dụng lshell trực tuyến bằng các dịch vụ onworks.net
