限制ldap和linux用户只使用ssh？

Question

我有一个RHEL 7服务器，我们使用它作为jumpbox对所有服务器进行身份验证。通常，用户将从本地机器登录到jumpserver ( their 7)，然后登录到各自的虚拟机上，但最近用户将数据存储在jumpserver目录中，这是一个非常小的vm，实际上，我不希望用户存储任何数据-事实上，我希望通过禁用所有其他权限来运行任何命令来限制用户将其作为jumpserver使用。

流程:localmachine(Open auth) --> jumpserver- machine 7(ssh-only) ->虚拟机

有人能解释一下如何将域/ldap和linux用户限制为ssh，除了跳转到他们的虚拟机之外，什么也不做。

环境:一切都是以7孔为基础的。

Answer 1

根据您的用户有多聪明，您可能不得不禁用SFTP。

对于SSH部分:您可以

1. 将每个人的外壳设置为rbash
2. 创建例如/usr/local/bin/restricted
3. 在ssh中创建指向/usr/local/bin/restricted的符号链接(可能还有其他允许的命令)
4. 将$PATH设置为/usr/local/bin/restricted仅在/etc/profile / /etc/bash.bashrc中
5. 删除所有主目录中的~/.bash_profile、~/.bash_login和~/.profile (和/etc/skel)