- ベストアンサー
一般ユーザのコマンド制限について
- 一般ユーザのコマンド制限について質問です。SSHサーバの一般ユーザで不要なコマンドを制限しているのですが、設定が適切か不安です。一般ユーザがSSHコマンドを使えなかった場合に、強制的に設定を変更していますが、これでセキュリティを強化できているか不安です。
- SSHサーバの一般ユーザで不要なコマンドを使えないよう制限していますが、設定の適切さについて質問です。一般ユーザがSSHコマンドを使えなかった場合、強制的に設定を変更していますが、これでセキュリティを強化できているか不安です。
- SSHサーバの一般ユーザで不要なコマンドの制限を設定していますが、設定の適切さについて質問です。一般ユーザがSSHコマンドを使えなかった場合に、強制的に設定を変更していますが、これでセキュリティを強化できているか不安です。
- みんなの回答 (2)
- 専門家の回答
関連するQ&A
- Linuxでのコマンド制限とログ取得について
Linux(centOS)での、サーバ管理を行うことになりました。 一般ユーザの作業により、サーバに影響を与えないように制限をかけておきたいのですが、どのような方法が有意義なのか?悩んでいます。アドバイスを頂けませんでしょうか? 【やりたいこと】 1)払いだしたアカウントで利用できるコマンドを制限したい(ls,cd,sftp,sshなどのみ) 2)ホームディレクトリから上位ディレクトリなどへの移動を制限したい。 3)ユーザが意識をせずに、実行したコマンドを自動強制記録して、後から管理者が参照したい。 【これまでに確認してきたこと】 1)chrootなどがあるようですが、root権限での実行が必要と思われる。 ログインシェルをrbashに変更することも検討。 2)同じく、chrootで実現可能?(同じく、root権限が必要?) その他、FTPソフト毎の設定方法はあるようだが...。 3)scriptコマンドやttyrecなどがあるようでしたが、どれがよいのか?実装方法(.bash_profileに記載だけで良い?)がわからない。 いろいろ、検索しておりますが、どのような方法があるのか?どの方法が良いのか?アドバイスを頂ければと思います。よろしくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- 一般ユーザーのsudoコマンドの権限をはく奪したい
一度、一般ユーザーがsudoコマンドを使える様な設定をネットで見て実行したのですが、その後、セキュリティの関係からその権利をはく奪したいと思ったのですが、 sudoeditコマンドで編集しようとしても、そのファイルの中に、一般ユーザーの名前が見つかりません。何か他に方法がありますでしょうか?さくらVPSのCentOS8 64bitになります。
- 締切済み
- Linux系OS
- さくらVPSの一般ユーザーにようるSFTP
さくらVPSを利用しています(CentOS 5.7)。 SFTPでファイルをアップロードする段階で先に進めないでいます。 rootのSSHのログインを禁止し一般ユーザーで秘密鍵を使いログインしています。 一般ユーザーexsampleを作成しました。一般ユーザーexsampleはmkdir,rmなどはできません(Permission deniedが発生します)。 調べるとsudoを使うと良いとあるので設定を行いました。 ■グループwheelを設定 id exsampleは下記のようになりました。 uid=500(exsample) gid=500(exsample) groups=500(exsample),10(exsample) ■visudoでグループwheelにsudoを設定 #%wheel ALL=(ALL) ALL → %wheel ALL=(ALL) ALL ■exsampleユーザーにパスを設定 exsampleユーザーの.bash_profileにパスを通しました。 これでsudo mkdir, sudo rmコマンドを実行できるようになりました。 sshでログインしてコマンド操作をするさいはsudoを使うので良いのですが 一般ユーザーexsampleでFTPクライアントからSFTPでファイルを転送するときにエラーが発生します。 SFTPでサーバーへの接続は正常にできています。サーバー上にディレクトリやファイルを作成するさいPermission deniedが発生します。 エラーの発生は当然だと思うのですがいろいろ調べるとrootでのログインは禁止するのが良いと有ります。 パスワード認証も止めて秘密鍵で認証がよいともありそのようにしています。 SFTPを一般ユーザーで利用してファイルを転送することは可能でしょうか(FTPクライアントはFileZillaを使っています)。可能でしたら方法をお教えください。 ユーザーrootで行うしか無いのでしょうか。 ご回答よろしくお願い致します。
- ベストアンサー
- Linux系OS
- Linuxでユーザー毎に実行出来るコマンドを制限
Linux初心者です。 今、あるユーザーにrmとかmkdirコマンドを実行させたくないとか、 あるユーザーにはコアなディレクトリを見せたくないといった ことをしたいのですが、どのように設定したらいいか さっぱりわからず困っています。。 環境はCentOS5.3です。 何かアドバイスいただけると助かります。
- ベストアンサー
- Linux系OS
- シェルの実行中にユーザ切り替えてコマンド実行
はじめまして。 シェル初心者です。 shell.shをrootユーザでクーロン実行していますが、 shell.shの処理の中で、違うユーザでコマンド実行したいのですが、 可能かどうかも、方法が分かりません。 教えていただけないでしょうか。 環境はLinuxです。 下記のコマンドを実行したいです。 リモートでログインしてコマンド実行結果を取得する ssh -l tomcat server_tomcat grep test /tmp/test.log ※他のユーザでsshを実行してコマンド結果を取得したいです。 以上。宜しくお願い致します。
- ベストアンサー
- Linux系OS
- CentOS 一般ユーザーの権限SSH
CentOS5.6です。 #useraddで作成した一般ユーザーがsshでログインした時の一般ユーザーの権限なんですが $ls /homeなどとすると他のユーザーアカウントが見れちゃいます。 これだけに限らず $lsで一般ユーザーは自身のホームディレクトリ以下だけでなく、別のディレクトリを参照できたり、cdできたりしちゃいます。 確かにOSのデフォルト設定で最初から参照すらも不可なパーミッションが設定されてあるディレクトリについてはいいのですが、そうでないディレクトリは多々あります。 これではまずいので、 一般ユーザーは自分のホームディレクトリ以下以外はlsしたりcdしたりできなくしたいんですがどうすればいいですか? よろしくお願いします。
- ベストアンサー
- Linux系OS
- コマンド制限・コマンド履歴
こんにちは。 システム管理のお仕事をし始めて4ヶ月ほどの新米です。 課題ということで、Solaris上でのコマンド制限について調べています。 特定のIDに対してコマンドを制限し、さらに履歴もとるという内容。履歴に関してはリアルタイムでなくても良いということです。 一般ユーザのコマンド制限になります。 一番いいのはrbashのようなものなのですが、共通環境がCシェルなので、rbashの使用は難しいようです。 質問も頼りないものですが、よろしくお願いいたします。
- ベストアンサー
- その他(ITシステム運用・管理)
- VPS:sendmailのユーザごとのメールボックス容量を設定したい
レンタルサーバで、VPSを使っています。 CentOS4.4です。 で、sendmailのユーザごとのメールボックス容量を設定したいと思っています。 http://www.stackasterisk.jp/tech/systemConstruction/sendmailSec02_01.jsp#2_2 で可能なことは分かったのですが、 ============================= [root@www /etc]$ vi fstab none /dev/pts devpts rw 0 0 ============================= 自分の場合、この下に 「 LABEL=/var /var ext3 defaults,usrquota 1 2」 を加えれば良いのでしょうか? あるいは、 「none /dev/pts devpts rw 0 0」 を変えればいいのでしょうか?(とすればどのように?) また、新しいユーザが追加になったごとに、 その容量に自動的に設定するにはどうすればいいのでしょうか? 上記URLだと、 ====== また、制限をかけたユーザを雛形にして、他のユーザにも同じ制限をかけたい場合は以下のように"-p"オプションを付けて実行してください。 #setquota -p yamada(<=ひな形となるユーザ) newuser /var ====== とあるのですが、 これだと、 ユーザ追加するごとに、このコマンドを実行しなければならないですよね・・・。 ウェブからユーザを追加し(これはできる)、そしてSSHに接続せずにこれを実現させたいのですが。 (cron使って・・・できるのでしょうか?) こういう需要は多いと思うので、王道的な手法もあるかと思うのですが・・・。 以上、よろしくお願いいたします。
- ベストアンサー
- Linux系OS
- sshユーザーに制限を付ける方法を教えて下さい
初めまして。 linux初心者です。 ○やりたい事 サーバーにユーザーを作りSSHでログインする。 ログイン後の操作に制限をする。たとえば、ホームディレクトリより上位のディレクトリには移動できない等です。 色々ウェブサイトを見ながらやってるのですが、うまくいきません。 上記をするには、ドコに設定をすれば良いかもまだ分りません。 どなたかご教授 宜しくお願いします。
- 締切済み
- ネットワーク
- SSHのコマンドについて
宜しくお願い致します。 SSHでサーバの設定をリモートから設定したいと思っておりますが、SSHでのサーバの設定方法や、コマンド一覧が掲載されているサイトもしくは本などありましたら教えて下さい。 宜しくお願い致します。
- ベストアンサー
- ハードウェア・サーバー
- eBand JS-10の正面右端の赤丸のボリュームが音量不調になってしまった場合、部品交換で修理可能か検討しています。部品はアルプス電気のものと思われます。愛用品が復活する可能性があるため、詳細を確認して部品を取り寄せる予定です。
- eBand JS-10の音量調整ボリュームが正常に機能していないため、部品交換が必要です。ボリュームは正面右端にあり、赤丸で示されています。また、この部品はアルプス電気のものと類似している可能性があります。修理することで愛用品を復活させたいと考えています。
- eBand JS-10の音量調整ボリュームに問題が発生しており、部品交換を検討しています。具体的には、正面右端にある赤丸の部品が関係していると思われます。同様の部品はアルプス電気のものと類似しているため、修理のために部品を取り寄せる予定です。愛用品を復活させるために、部品交換を試してみたいと考えています。
補足
> [CenOS(SSHサーバ)]でsshコマンドだけを許すのは、すなわち(2)の問題に対する策は(3)の手順を行うのではなく(1)の中で > # ln -s /usr/bin/ssh /home/testuser/bin/ssh > とすべきではないだろうか。(3)を実行するとtestuserのログインシェルがbashになって全コマンド実行できるようにならないかい? > testuserのシェルを/opt/rbashにして制限かかった後にシェルを/bin/bashにして制限を撤廃しているように読めるのだけど私の勘違い? > > で、このような構成をする場合は[CenOS(SSHサーバ)]にてSSHトンネルの機能を使えなくすべきだろう。/etc/ssh/sshd_configに >AllowTcpForwarding no > という行を追加する。すでにAllowTcpForwarding yesという行がある場合はそれをnoに変える。 > > ⇒教えていただきありがとうございます。再度手順書修正致します。 > > SELinuxは日本語の分かりやすい文献が少なくて困るねぇ。私も面倒で大抵無効にしてしまうのであまり詳しくない。 ⇒やっぱりそうなんですね。 安全性と完全性の説明わかりやすいです!!ありがとうございます。 > と思ったんだけどそもそも[CenOS(SSHサーバ)]が何のためにあるのか分からないんだよね。 > Win10が[CenOS(Webサーバ)]に直接SSHしない理由(目的)をまず教えていただけるとありがたい。 [現状の構成情報] ■さくらVPS(4Gプラン / Windows10) [ネットワークの設定] Eth1(160.16.XXX.XXX) Global IP 有効 (1)理由 Eth2(172.XXX.XXX.XXX) Private IP 有効 (1)理由 一時的にローカルネットワークの範囲で動作確認の為設定 Eth3(10.XXX.XXX.XXX) Private IP 有効 (1)理由 踏み台サーバに接続するため [ファイアウォール] ・135~139までのポートをブロック ・リモートデスクのポート番号変更 [ICMP(Ping)の応答] とくに拒否設定はなし [その他] ・ウィルス対策ソフト導入済み ■さくらVPS(512Mプラン / 踏み台サーバ) [ネットワークの設定] Eth0(160.16.XXX.XXX) Global IP停止 (01)理由 外部から遮断してアクセスできないようにする Eth2(10.XXX.XXX.XXX) Privete IP有効 (01)理由 各サーバにSSHで接続するためPrivate IPを設定 [ソフトウェア] OpenSSHのみ [接続元の制限] Windows10のeth2のみからの通信は許可してそれ以外は全てアクセス拒否 [ICMP(Ping)の応答] Windows10の環境のEth2からの場合は応答ありでそれ以外は拒否 ■さくらVPS(1Gプラン / Webサーバ) [ネットワークの設定] Eth0(160.16.XXX.XXX) Global IP停止 ⇒Global IPを停止 Eth1(172.XXX.XXX.XXX) Private IP有効 ⇒今後リバースプロキシとの通信をやる為、PrivateIPを設定 Eth2(10.XXX.XXX.XXX) Private IP有効 ⇒踏み台サーバを経由でSSHを接続するため、PrivateIPを設定 [ソフトウェア] ・OpenSSH ・Apache [接続元の制限] 踏み台サーバeth2からのみ許可してそれ以外はアクセス拒否 [ICMP(Ping)の応答] 踏み台サーバeth2からのみ許可してそれ以外はタイムアウト ざっくり説明すると、SSHの侵入経路を上記のようにすれば 制限できるんじゃないかなぁと思っております。