すべてのサーバーを認証するためにジャンプボックスとして使用するRHEL 7サーバーがあります。通常、ユーザーはローカルシステムでJumpserver(rhel 7)にログインしてからその仮想マシンにログインしますが、最近のユーザーは非常に小さな仮想マシンであるJumpserverのディレクトリにデータを保存しており、ユーザーがどこにあるのかわかりません。ここにはデータは保存されません。実際にコマンドを実行できる他のすべての権限を無効にして、ユーザーがジャンプサーバーとしてのみ使用するように制限したいと思います。
プロセス: localmachine(open-ldap auth) --> Jumpserver-rhel 7 (ssh のみ) ---> 仮想マシン
ドメイン/ LDAPおよびLinuxユーザーをSSHのみに制限し、仮想マシンにジャンプする以外に何もしない方法について誰か教えてください。
Env:すべてはrhel 7に基づいています。
ベストアンサー1
ユーザーの知能によっては、SFTPを無効にする必要があるかもしれません。
SSH部分の場合は、次のことができます。
- 全員のシェルを次に設定します。
rbash - たとえば、作成
/usr/local/bin/restricted - シンボリックリンクの生成
ssh(他の許可されたコマンドがあるかもしれません)/usr/local/bin/restricted - / でのみ
$PATHに設定/usr/local/bin/restricted/etc/profile/etc/bash.bashrc - すべてのホームディレクトリから
~/.bash_profile、~/.bash_loginおよびを削除します(および~/.profile/etc/skel