Usuario de Linux sin permissions de sistema de files

Necesito hacer un usuario linux con el único propósito de un proxy SSH. Entre otras cosas, el usuario no debe ser capaz de ir alnetworkingedor de explorar el sistema de files o incluso acceder a una shell realmente.

Obviamente, sólo podría chmod eliminar todos los permissions de lectura / escritura / ejecución para todo, pero eso es, obviamente, una muy mala opción y potencialmente mucho time.

La única connection que utilice este usuario debe ser a través de ssh -D account@example.com

Estoy ejecutando Debian 7.

2 Solutions collect form web for “Usuario de Linux sin permissions de sistema de files”

Si el usuario va a iniciar session, que va a tener que ser capaz de leer algunos bits del sistema de files. Simplemente no puede iniciar un shell interactivo sin acceso a determinados files.

Si todo lo que necesitan hacer es autenticarse lo suficiente como para túnel otras conexiones (incluyendo, como en este caso, aprovechando la facilidad de proxy ssh SOCKS), es mejor negar al usuario una shell interactiva (por ejemplo, usermod -s /sbin/nologin account ), y luego hacer que se autenticen sin interacción ( ssh -N -D 23456 example@example.com ).

No olvide que ssh -D requiere un número de puerto para enlazar el proxy SOCKS local, por lo que el ejemplo en su pregunta es sintácticamente inválido.

¿Podría usar un usuario o grupo ssh en chroot? Nunca lo he implementado, pero parece que esto puede ayudar: https://www.howtoforge.com/chrooted-ssh-sftp-tutorial-debian-lenny

El tutorial es para Lenny, pero espero que esto no cambie demasiado.

  • ¿Cuál es el permiso necesario para ver todos los permissions en una database determinada?
  • Configuración de usuario portátil en Windows
  • Comandos elevados dentro de un script
  • Ejecutar un command como usuario nologin
  • Cómo crear un file usuario raíz no se puede eliminar
  • Permitir que el usuario de mysql sea utilizado sólo por el usuario especificado
  • Ejecución de OpenOffice como un service de Daemontools no recoger al usuario
  • rm: no se puede quitar `/var/run/httpd/httpd.pid ': Permiso deniedLED]
  • Perfil itinerante vs redirección de carpetas
  • ¿Cómo dar permissions de escritura usando setfacl mientras conserva los permissions existentes?
  • Deshabilitar perfil de usuario temporal en estaciones de trabajo en un entorno de Windows 2008
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.