開発(等)の日記

開発(等)の日記 » Archives » rsshインストール:

rsshをシェルとして指定することにより、sshクライアントでのログインを制限しつつ、chroot環境に置きながら、umaskの設定もできるとのこと。

ということで先日インストールしたrssh。
その時にも検証を行ったような気がするが、記憶はアテにならないのでメモとして残しておく。
やっぱり良いな、rssh。

scp、sftpのみを提供するユーザを作る上で気なるのはシェルを奪われないか。
制限を行うユーザのシェルをこれに変更することでscp、sftpでの接続のみ¹を許可することができる。

sshの制限を行うために、authorized_keysにcommand指定を行うことで使用可能なコマンドを制限することは可能であるが、必要とするコマンド(及びオプションのパターン？²)の数だけ公開鍵が必要となるので秘密鍵の数も必要….

authorized_keysで制限を行うので、これが書き換えられないようにユーザの書込みも制限しなければならなかったり、commandの指定がちょっとわかりづらかったりと、運用上の複雑さから設定せずに放置されがちな印象を持つ。

と、前置きが長くなったが、インストールこそsrpm³でちょっと面倒ではあるものの、一度入れてしまえば留意しなければならないのは/etc/passwdのシェル部分のみ。
authorized_keysへの指定は全く平のままで機能してくれる。以下、検証内容。

% echo "cat .ssh/authorized_keys" |ssh -i ~/Desktop/id_rsa.test rssh_user@host_name
Pseudo-terminal will not be allocated because stdin is not a terminal.

This account is restricted by rssh.
Allowed commands: scp sftp

If you believe this is in error, please contact your system administrator.

 % ssh -i ~/Desktop/id_rsa.test rssh_user@host_name .ssh/authorized_keys

This account is restricted by rssh.
Allowed commands: scp sftp 

If you believe this is in error, please contact your system administrator.

1. Debianのパッケージ情報では「scp, sftp, cvs, rsync and/or rdist」とある。subversionも大丈夫なのかな？ TODO 検証 対応は上記だけ。 [↩]
2. 認識が間違っていたらご指摘ください [↩]
3. 今回FedoraCoreだったので。Debianならaptitude一発 [↩]

Related posts

• rsshインストール (1)
• zshプロンプト (0)
• MacBookにUbuntu7.10をインストール (0)
• gnomeでemacs的キーバインディング (0)

Tags: admin, linux

This entry was posted on 木曜日, 6 月 26th, 2008 at 23:56 and is filed under diary. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.