Quantcast
Channel: Linux –俺的備忘録 〜なんかいろいろ〜
Viewing all articles
Browse latest Browse all 743

rbashで一部のユーザが実行できるコマンドを制限する(特定コマンドしか実行できないようにする)

September 25, 2016, 8:00 pm
$
0
0

一部のユーザで、特定のコマンドのみを利用できるようにして、そのほかのコマンドは実行できないようにしたい。
そんなときは、対象のユーザのログインシェルをrbashというシンボリックリンクにしてやることで実現可能だ。

まず、bashのシンボリックリンクとしてrbashを「/opt/bin」配下に作成する。

mkdir /opt/bin
ln -s /bin/bash /opt/bin/rbash

 

次に、rbash用のユーザを作成する。

useradd rbash_test -s /opt/bin/rbash
passwd rbash_test

 

rbash用のユーザが利用できるコマンド(シンボリックリンク)のみを格納したディレクトリを作成する。
ここでは、ping、lsのみを許可してみる。

mkdir /opt/bin/rbash_test/
ln -s $(which ping | grep bin) /opt/bin/rbash_test/
ln -s $(which ls | grep bin) /opt/bin/rbash_test/

 

最後に、.bash_profileを書き換えてPATHに先ほど作成したディレクトリのみを指定する。

chown root:root /home/rbash_test/.bash_profile
chmod 755 /home/rbash_test/.bash_profile
sed -i '/^PATH=/cPATH=/opt/bin/rbash_test/' /home/rbash_test/.bash_profile

あとはログインするだけだ。
対象のユーザでログインしてみよう。

20160925_092015000000

Last login: Sun Sep 25 09:19:23 2016 from XXX.XXX.XXX.XXX
[rbash_test@BS-PUB-CENT7-02 ~]$ ls -la
合計 16
drwx------. 2 rbash_test rbash_test  79  9月 25 09:18 .
drwxr-xr-x. 3 root       root        23  9月 25 09:16 ..
-rw-------. 1 rbash_test rbash_test 128  9月 25 09:19 .bash_history
-rw-r--r--. 1 rbash_test rbash_test  18  8月  3 01:00 .bash_logout
-rwxr-xr-x. 1 root       root       181  9月 25 09:18 .bash_profile
-rw-r--r--. 1 rbash_test rbash_test 231  8月  3 01:00 .bashrc
[rbash_test@BS-PUB-CENT7-02 ~]$ ls -la /opt/
合計 4
drwxr-xr-x.  3 root root   16  9月 25 09:16 .
dr-xr-xr-x. 17 root root 4096  1月  2  2016 ..
drwxr-xr-x.  3 root root   35  9月 25 09:17 bin
[rbash_test@BS-PUB-CENT7-02 ~]$ cd
-rbash: cd: 制限されています
[rbash_test@BS-PUB-CENT7-02 ~]$ ping -c 1 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=58 time=117 ms

--- 8.8.8.8 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 117.210/117.210/117.210/0.000 ms

 

確かにcdはできないし、制限はできてるようだ。
ただまぁ、chrootを行っているわけではないので、/homeより上は見えるようだ。ということはPATHを書き換えたり、「/bin」配下のコマンドを直接実行できるのか?というと

[rbash_test@BS-PUB-CENT7-02 ~]$ PATH=$PATH:/bin
-rbash: PATH: 読み取り専用の変数です
[rbash_test@BS-PUB-CENT7-02 ~]$ /bin/touch aaa
-rbash: /bin/touch: 制限されています:  `/' をコマンド名の中に指定できません

 

ちゃんと実行できないようになっているようだ。

[改訂新版]プロのためのLinuxシステム構築・運用技術 (Software Design plus) [改訂新版]プロのためのLinuxシステム構築・運用技術 (Software Design plus)
Search
Viewing all articles
Browse latest Browse all 743

Trending Articles

富士祭花火のお知らせ(9月10日)/中野区

August 28, 2017, 4:10 pm

[BD720p&1080p]立花館To Lieあんぐる 無修正解禁コンプリート版

July 18, 2018, 3:40 pm

田辺の会社事務所に侵入した男2人を逮捕

January 19, 2016, 2:21 am

モノサク俯瞰めぐり ~黄金に染まる田んぼ

May 10, 2014, 5:43 am

学術・研究:部落探訪(149) 新潟県胎内市桃崎浜

September 17, 2019, 3:23 pm

梶浦郁乃(東邦高校元マネージャー)今現在OLで彼氏(藤島健斗)とは交際は続いている?

June 9, 2017, 9:26 pm

ヤフオクで落札した家電福袋が届きました。

January 17, 2013, 3:37 am

A a = new A(){}; の構文の意味が分からない。

May 11, 2009, 12:01 am

Windows10にupdateしたくてもできません。

September 1, 2015, 4:17 am

2016年2月12日号 第四銀行(2月1日付)

February 12, 2016, 6:53 pm

あなたの、私のクリスマス?/Your Christmas or Mine

January 30, 2023, 9:00 am

カラオケ鉄板ネタになるの間違いなし「大塚愛から福原愛」って何!?

December 2, 2016, 11:00 pm

【ディズニーランドパリ】日本にないオススメアトラクション13選【ウォルトディズニースタジオ】

February 21, 2019, 5:31 am

サイコブレイク 隠し要素

June 30, 2015, 1:44 am

PaliのLepe `Ula`ulaと歌詞の和訳

July 19, 2012, 7:10 pm

徳島・鳴門で火災で1人死亡 小学2年生の男の子か?

February 3, 2014, 1:14 pm

抽出に時間がかかります。

December 19, 2018, 11:47 pm

男子は札幌市立向陵、女子は札幌市立稲陵が優勝 [H27北海道中学生大会(団体戦)]

July 8, 2015, 9:49 am

大阪・泉南イオンで飛び降り自殺とみられる転落事件が発生:ネットで拡散された理由とは

July 15, 2016, 12:05 pm

【MH3G】T10判定への道~その1

November 2, 2017, 12:45 pm
Search