LDAPおよびLinuxユーザーがSSHのみを使用するように制限しますか?

LDAPおよびLinuxユーザーがSSHのみを使用するように制限しますか?

すべてのサーバーを認証するためにジャンプボックスとして使用するRHEL 7サーバーがあります。通常、ユーザーはローカルシステムでJumpserver(rhel 7)にログインしてからその仮想マシンにログインしますが、最近のユーザーは非常に小さな仮想マシンであるJumpserverのディレクトリにデータを保存しており、ユーザーがどこにあるのかわかりません。ここにはデータは保存されません。実際にコマンドを実行できる他のすべての権限を無効にして、ユーザーがジャンプサーバーとしてのみ使用するように制限したいと思います。

プロセス: localmachine(open-ldap auth) --> Jumpserver-rhel 7 (ssh のみ) ---> 仮想マシン

ドメイン/ LDAPおよびLinuxユーザーをSSHのみに制限し、仮想マシンにジャンプする以外に何もしない方法について誰か教えてください。

Env:すべてはrhel 7に基づいています。

答え1

ユーザーの知能によっては、SFTPを無効にする必要があるかもしれません。

SSH部分の場合は、次のことができます。

  1. 全員のシェルを次に設定します。rbash
  2. たとえば、作成/usr/local/bin/restricted
  3. シンボリックリンクの生成ssh(他の許可されたコマンドがあるかもしれません)/usr/local/bin/restricted
  4. / でのみ$PATHに設定/usr/local/bin/restricted/etc/profile/etc/bash.bashrc
  5. すべてのホームディレクトリから~/.bash_profile~/.bash_loginおよびを削除します(および~/.profile/etc/skel

答え2

コマンドラインが起動したことを確認し、この場合にのみ実行されるスクリプトを使用してForceCommandそれを設定できます。sshd_configSSH_ORIGINAL_COMMANDssh

したがって、ユーザーは以下を使用する必要があります。

ssh jumphost ssh realtarget

変える

ssh jumphost

ssh realtarget対話型シェルで実行されます。

関連情報