すべてのサーバーを認証するためにジャンプボックスとして使用するRHEL 7サーバーがあります。通常、ユーザーはローカルシステムでJumpserver(rhel 7)にログインしてからその仮想マシンにログインしますが、最近のユーザーは非常に小さな仮想マシンであるJumpserverのディレクトリにデータを保存しており、ユーザーがどこにあるのかわかりません。ここにはデータは保存されません。実際にコマンドを実行できる他のすべての権限を無効にして、ユーザーがジャンプサーバーとしてのみ使用するように制限したいと思います。
プロセス: localmachine(open-ldap auth) --> Jumpserver-rhel 7 (ssh のみ) ---> 仮想マシン
ドメイン/ LDAPおよびLinuxユーザーをSSHのみに制限し、仮想マシンにジャンプする以外に何もしない方法について誰か教えてください。
Env:すべてはrhel 7に基づいています。
答え1
ユーザーの知能によっては、SFTPを無効にする必要があるかもしれません。
SSH部分の場合は、次のことができます。
- 全員のシェルを次に設定します。
rbash
- たとえば、作成
/usr/local/bin/restricted
- シンボリックリンクの生成
ssh
(他の許可されたコマンドがあるかもしれません)/usr/local/bin/restricted
- / でのみ
$PATH
に設定/usr/local/bin/restricted
/etc/profile
/etc/bash.bashrc
- すべてのホームディレクトリから
~/.bash_profile
、~/.bash_login
およびを削除します(および~/.profile
/etc/skel
答え2
コマンドラインが起動したことを確認し、この場合にのみ実行されるスクリプトを使用してForceCommand
それを設定できます。sshd_config
SSH_ORIGINAL_COMMAND
ssh
したがって、ユーザーは以下を使用する必要があります。
ssh jumphost ssh realtarget
変える
ssh jumphost
ssh realtarget
対話型シェルで実行されます。