Chinaunix首页 | 论坛 | 博客

月歌54的ChinaUnix博客

首页 |  博文目录 |  关于我

月歌54

  • 博客访问: 115100
  • 博文数量: 28
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 277
  • 用 户 组: 普通用户
  • 注册时间: 2014-10-20 16:21
文章分类

全部博文(28)

文章存档

2019年(1)

2018年(2)

2017年(22)

2016年(3)

我的朋友
最近访客
推荐博文
相关博文
centos 配置 限定ip限定用户执行有限命令

分类: 系统运维

2017-12-23 17:50:35

一、前言


运维都碰到过这种需求:生产环境上的服务日志,开发人员需要有查看权限,当没有日志系统的时候。如果随便分配一个普通用户,但是普通用户只要可以登录,权限就已经很大了。开发人员一般都没有好的服务器意识,为了保险起见,苛刻的权限分配很有必要。
现有需求:开发人员只能在生成环境指定目录,执行有限的命令,如:ls,pwd,cat,grep,less等查看命令。
经过一番折腾,整理如下思路:在跳板机上创建普通用户如:test,配置跳板机test用户,公钥+密码登录生产环境test账号(当然你也可以配置成免密码登录),指定生产环境test用户的shell为rbash(即限制版bash),并将test用户的环境变量初始为/home/test/bin,将允许执行的命令软链接到/home/test/bin,这样,rbash下通过bash命令就改不了shell了。在test的.bashrc中加入内容:定义PATH变量;cd /your/path 。


二、配置登录


跳板机:192.168.0.1
生产环境:192.168.0.2


1、跳板机


创建跳板机用户test
useradd -m test
su test
ssh-keygen -t rsa
设置密码:123456


2、生产服务器


创建生产环境用户test
useradd -m test
mkdir /homt/test/.ssh
chmod 700 /home/test/.ssh
将跳板机/home/test/.ssh/id_rsa.pub文件的内容追加到生产环境/home/test/.ssh/authorized_keys文件中,没有这个文件,则自己创建。
chmod 600 /home/test/.ssh/authorized_keys

这里有个问题让我查了比较久,就是公钥都配好了,权限也都没问题,但是跳板机登录的时候一直是:Permission denied (publickey),后来百度后发现,客户端ssh -vvv user@ip 可以打印登录过程,同时服务器端在/var/log/secure 中可以查看登录错误日志。最后发现是secure中错误“User test from 192.168.0.1 not allowed because not listed in AllowUsers”,原来是ssh限制了
登录用户。

在/etc/ssh/sshd_config中配置指定用户指定IP登录,加入以下行:
AllowUsers root test@127.0.0.1         #不同用户间以空格分开
查看/etc/hosts.allow和/etc/hosts.deny中是否有登录IP限制


三、配置用户指定目录


1、生产服务器


mkdir /home/test/bin/
cd /home/test/bin
ln -sf /bin/ls  ls
ln -sf /bin/cat cat
ln -sf /bin/grep grep
ln -sf /usr/bin/tail tail

耍了一个小聪明,做了一个小界面。
vi /home/test/.bashrc


点击(此处)折叠或打开

  1. # .bashrc

  3. # Source global definitions
  4. if [ -f /etc/bashrc ]; then
  5.         . /etc/bashrc
  6. fi
  7. PATH=/home/test/bin
  8. Wigth=58
  9. Lhigh=20
  10. High=24
  11. echo -ne "\033[2J"
  12. for ((X=1;X<=Wigth;X++));do
  13.         if [ $X == 1 -o $X == ${Wigth} ];then
  14.                 echo -ne "\033[1;${X}H\033[30m+\033[0m"
  15.                 echo -ne "\033[$Lhigh;${X}H\033[30m+\033[0m"
  16.                 echo -ne "\033[$High;${X}H\033[30m+\033[0m"
  17.         else
  18.                 echo -ne "\033[1;${X}H\033[30m-\033[0m"
  19.                 echo -ne "\033[$Lhigh;${X}H\033[30m-\033[0m"
  20.                 echo -ne "\033[$High;${X}H\033[30m-\033[0m"
  21.         fi
  22. done
  23. for ((Y=2;Y<High;Y++));do
  24.         if [ $Y != ${Lhigh} ];then
  25.                 echo -ne "\033[${Y};1H\033[30m|\033[0m"
  26.                 echo -ne "\033[${Y};${Wigth}H\033[30m|\033[0m"
  27.         fi
  28. done

  30. echo -ne "\033[3;25H\033[30m1. cms\033[0m"
  31. echo -ne "\033[4;25H\033[30m2. mps\033[0m"
  32. echo -ne "\033[5;25H\033[30m3. vbs\033[0m"
  33. echo -ne "\033[6;25H\033[30m4. ups\033[0m"
  34. echo -ne "\033[7;25H\033[30m5. gateway\033[0m"
  35. echo -ne "\033[8;25H\033[30m6. iot-cloudstore\033[0m"
  36. echo -ne "\033[9;25H\033[30m7. iot-auth\033[0m"
  37. echo -ne "\033[10;25H\033[30m8. iot-callback\033[0m"
  38. echo -ne "\033[11;25H\033[30m9. iot-event\033[0m"
  39. echo -ne "\033[12;24H\033[30m10. iot-zuul\033[0m"
  40. echo -ne "\033[13;24H\033[30m11. iot-pay\033[0m"
  41. echo -ne "\033[14;24H\033[30m12. kafka\033[0m"
  42. echo -ne "\033[15;24H\033[30m13. KafkaServer\033[0m"
  43. echo -ne "\033[16;23H\033[30mq|Q. quit\033[0m"
  44. echo -ne "\033[18;24H\033[30minput(n):\033[0m"
  45. echo -ne "\033[21;2H\033[30mnotice:only command \033[1;4;31mless tail cat grep ls pwd \033[0mworking"
  46. echo -ne "\033[21;${Wigth}H\033[30m|\033[0m"
  47. while true;do
  48.   echo -ne "\033[K\033[23;2H"
  49.   echo -ne "\033[23;58H\033[30m|\033[0m"
  50.   echo -ne "\033[18;33H\033[30m"
  51.   echo -ne "\033[K"
  52.   echo -ne "\033[18;${Wigth}H\033[30m|\033[0m"
  53.   echo -ne "\033[18;33H\033[30m"
  54.   read choice
  55.   case $choice in
  56.     1)
  57.      cd /srv/CmsServer/logs
  58.      break
  59.     ;;
  60.     2)
  61.      cd /srv/MpsServer/MpsLog
  62.      break
  63.     ;;
  64.     3)
  65.      cd /srv/VbsServer/MpsLog
  66.      break
  67.     ;;
  68.     4)
  69.      echo -ne "\033[2J"
  70.      echo -ne "\033[1;1H\033[0m"
  71.      exit
  72.     ;;
  73.     5)
  74.      cd /srv/newgatewayserver/dispather/src/proc/web_server/log
  75.      break
  76.     ;;
  77.     6)
  78.      cd /home/spring/log/cloudstore
  79.      break
  80.     ;;
  81.     7)
  82.      cd /home/spring/log/auth
  83.      break
  84.     ;;
  85.     8)
  86.      cd /home/spring/log/callback
  87.      break
  88.     ;;
  89.     9)
  90.      cd /home/spring/log/cep
  91.      break
  92.     ;;
  93.     10)
  94.      cd /home/spring/log/zuul
  95.      break
  96.     ;;
  97.     11)
  98.      cd /home/spring/log/pay
  99.      break
  100.     ;;
  101.     12)
  102.      cd /srv/kafka/logs
  103.      break
  104.     ;;
  105.     13)
  106.      cd /srv/KafkaServer/log
  107.      break
  108.     ;;
  109.     q|Q)
  110.      echo -ne "\033[25;1H\033[30m\n"
  111.      echo "quit"
  112.      exit
  113.      ;;
  114.     *)
  115.      echo -ne "\033[23;2H\033[5;30minput error !\033[0m"
  116.      continue
  117.      ;;
  118.   esac
  119. done
  120. echo -ne "\033[25;1H\033[30m\n"

  122. # User specific aliases and functions

界面是这样的:(是的,很丑)


将test的shell改成rbash:
ln -sf /bin/bash /bin/rbash
echo "/bin/bash" >>/etc/shells
chsh -s /bin/rbash test

大功告成,跳板机test登录生成环境后会线上以上菜单,选择目录后,进入相应目录,权限很有效,不能cd,不能以 "/" 开头,以绝对路径执行命令,改不了bash。基本只有查看当前目录和某些目录文件的内容。
















阅读(2372) | 评论(0) | 转发(0) |
0

上一篇:python 上下文管理器

下一篇:shell显示有颜色字体和控制游标位置

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6