Чистая поставленная фря.
Нужно создать пользователя для доступа по ssh и при этом наложить всякие ограничения, чтобы он не мог нанести вред и не узнал, того чего знать не надо
Как это правильно делается?
Также необходимо логировать все комманды пользователя, а также время когда пришел, ушел итд...и по возможности отсылать рапорты раз в день-два.
А какие задачи будут у этого пользователя?
Самый простейший вариант - создать пользователя, добавить его в группу wheel (чтобы его вообще по ssh пускало) и настроить в sudo ему только те команды, которые действительно необходимы.
suso автоматом в лог пишет все команды, которые пользователь запускал с повышением привилегий.
А какие задачи будут у этого пользователя?
Самый простейший вариант - создать пользователя, добавить его в группу wheel (чтобы его вообще по ssh пускало) и настроить в sudo ему только те команды, которые действительно необходимы.
suso автоматом в лог пишет все команды, которые пользователь запускал с повышением привилегий.
эй-вэй, не путайте человека - wheel нужен для su, в не ssh!
так что никаких wheel - все через sudo! разрешить там только определенные команады - что ограничит в действиях и будут все логи того, что оный делал
-= freeBSD stable, fluxbox =-
"если ты будешь со мной спорить, я тебя запишу в книжечку!" (с) Ежик
так мне не нужны права рута...
нужно просто логировать комманды пользователя и запретить некоторые, к примеру id и ifconfig или наоборот разрешить только то что можно. И при этом права рута вобще не нужны.
еще раз - для sudo права рута не нужны. но таковы уж никсы - для административных действий требуются права рута.
то есть я как пользователь, могу посмотреть вывод ifconfig, но изменить - нет. и т.д....
таким образом, sudo необходимо для того, что бы обычный пользователь, не имя доступа к учетной записи root, мог выполнять действия, требующие привилегий суперпользователя.
для логгирования действией пользователя вообще можно использовать audit
-= freeBSD stable, fluxbox =-
"если ты будешь со мной спорить, я тебя запишу в книжечку!" (с) Ежик
в таком случае sudo не подходит.
насчет аудита это хорошо - читаю.
А вот как запретить пользователю выполнять id и ifconfig?
сделать chmod 550 ??
а логи смотреть, тоже chmod?
так, давайте определяться, что конкретно вы хотите.
что значит "запретить пользователю выполнять ifconfig и id" ?
почему вы хотите запретить пользователю просмотривать инфу о настройках сетевого интерфейса?
-= freeBSD stable, fluxbox =-
"если ты будешь со мной спорить, я тебя запишу в книжечку!" (с) Ежик
Если создать пользователя в группе тоже новой и он попробует вызвать ifconfig то он получит
return,failure : Permission denied
Почему? ..шалости...ну эт к примеру))
вобщем, сейчас всего добился поставив на блокируемые комманды chmod 550, а логирование через аудит lo,ex
Все как надо
Как вариант можно использовать фишку sshd - ChrootDirectory. Сделайте такую опцию вашему юзеру и накидайте туда (в его ChrootDirectory) только те приложения которые вы хотите разрешить ему запускать .
.