如何限制 SSH 用户命令执行？提升服务器安全性

限制 SSH 用户命令执行

作为一名经验丰富的程序员，我在工作中经常遇到需要限制 SSH 用户命令执行的情况。本文将深入探讨使用 command 选项和自定义 shell 脚本来实现这一目标的方法。

为什么要限制 SSH 命令？

限制 SSH 用户命令执行有以下几个主要原因：

• 提高安全性： 限制用户只能执行必要的命令可以降低安全风险，防止恶意活动。
• 保护敏感数据： 通过限制用户访问某些命令，我们可以保护服务器上的敏感数据和系统配置。
• 提高生产力： 通过限制分心和不必要的工作，我们可以提高员工的生产力。

使用 command 选项

command 选项允许我们在用户登录时指定一个受限的命令集。这可以通过在 authorized_keys 文件中添加 command 行来实现，如下所示：

command="/bin/myscript.sh",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty
ssh-dss AAAAB3....o9M9qz4xqGCqGXoJw= user@host

创建自定义 Shell 脚本

接下来，我们需要创建一个自定义 shell 脚本，其中包含用户可以执行的允许命令。让我们创建一个名为 myscript.sh 的脚本：

#!/bin/bash

echo "Allowed commands:"
echo "- less logfile"
echo "- shutdown.sh"
echo "- run.sh"

case "$1" in
    "less")
        less logfile
        ;;
    "shutdown.sh")
        shutdown.sh
        ;;
    "run.sh")
        run.sh
        ;;
    *)
        echo "Unknown command."
        ;;
esac

验证限制

登录服务器并尝试执行允许和不允许的命令。您应该只能执行脚本中列出的命令。

常见问题解答

• 我如何添加或删除允许的命令？ 只需编辑 myscript.sh 脚本并更新 case 语句。
• 我可以使用 command 选项限制其他类型的命令吗？ 是的，您还可以限制文件传输、端口转发和 X11 转发。
• 用户还可以使用不受限制的终端模拟器吗？ 否，no-pty 选项可防止用户打开不受限制的终端。
• 我可以将 command 限制应用于特定用户组吗？ 是的，您可以使用 Match 块在 sshd_config 文件中设置基于组的限制。
• 如果用户尝试执行不允许的命令会怎样？ 他们将收到一条错误消息，指出该命令未知。

结论

通过使用 command 选项和自定义 shell 脚本，我们可以有效地限制 SSH 用户的命令执行。这增强了安全性、保护了敏感数据并提高了生产力。利用本文中概述的步骤，您可以轻松实现这一目标，以提高服务器安全性。