>安全副本(scp)
>创建,复制,移动/重命名和删除文件
>为源代码控制和文本编辑执行一个狭窄的命令子集(git,vim,nano)
我们想实现它并查看以下选项:
这些将允许scp部分,但使用git似乎不可能.在Launchpad有一个补丁,但我不知道该怎么做.还有git-shell,但它似乎不允许编辑.也许vim甚至太多了,因为它可以用来执行更多的代码,所以我们可以放弃它(vim,或文本编辑器完全,如果必须的话),如果它太多了.
我们基本上想要锁定shell,因此用户可以管理(和编辑)文件和git存储库,但用户不应该能够执行系统上的任何其他程序.最大的问题是滥用网络和计算资源,但也使用系统作为代理.你说它的名字.有没有办法做到这一点,或者我们甚至可能在这个问题上采取错误的方法?
解决方法
授予用户远程使用git存储库的权限
使用gitolite3提供一个hub-live存储库模式(详见here),它基本上要求你有一个裸存储库(一个集线器仓库)让你的用户推/拉和一个签出版本的例如,/ srv / www / html中的相同仓库(实时仓库)位于相应的路径中.
我喜欢使用gitolite3来处理集线器回购,但这不是必需的,但如果需要的话,拥有fine-grained access control bound to your LDAP of choice会相当方便. gitolite3可以提供细粒度控制到分支级别.
通过sudo限制gitolite3用户的功能也是一种很好的做法,并通过sudo调用来处理钩子.这是一个使用gitolite3钩子的工作示例(随意调整它们 – 或者增强/修复它们 – 以满足您的需要):
> / etc / sudoers或/etc/sudoers.d/gitolite3的相关内容将类似于:
Cmnd_Alias GITOLITE_CMDS = /usr/bin/git,/bin/chown,/bin/find,/usr/bin/xargs,/bin/chmod,/sbin/restorecon,/usr/local/sbin/publisher-hub2live Cmnd_Alias GITOLITE_APACHE_CMDS = /usr/sbin/apachectl graceful Defaults:gitolite3 !requiretty Defaults:gitolite3 lecture=never gitolite3 ALL = (root)NOPASSWD: GITOLITE_CMDS gitolite3 APACHE_HOSTS = (root)NOPASSWD: GITOLITE_APACHE_CMDS
> hub repo post-update hook:
#!/bin/sh echo "****" echo "**** Calling publisher-hub2live script [Hub's post-update hook]" echo "****" sudo /usr/local/sbin/publisher-hub2live "/srv/www/html" "root:apache" "2750" "640" exit 0
> publisher-hub2live脚本:
#!/bin/sh
echo "****"
echo "**** Pulling changes into Live [publisher-hub2live]"
echo "****"
cd "$1" || exit
umask 0022
unset GIT_DIR
/usr/bin/git pull hub master
# custom actions here
# e.g call grunt tasks
/bin/chown -R "$2" "$1"
/bin/find "$1" -type d -exec chmod "$3" {} +
/bin/find "$1" -type f -exec chmod "$4" {} +
/bin/chmod u+x "$1"/.git/hooks/post-commit
/sbin/restorecon -R -v "$1"
exec /usr/bin/git update-server-info
exit 0
限制在登录shell中执行未授权命令的能力
您需要实现的是一种可重现的,可审计的方法,用于限制用户执行严格允许的操作以外的操作的能力.
它不是必需的,但如果您的用户在LDAP中注册,并且您已经部署了执行LDAP身份验证的机制,无论是通过PAM模块还是使用freeIPA和sssd,它都会有所帮助.
为了实现这种情况,我目前做的是以下内容(请注意,这种限制要求满足几个条件,否则可以轻松规避限制):
>用户不属于wheel组,唯一授权使用su(通过PAM强制执行).通常,存在非LDAP用户(sysadm),以允许受信任的管理员在灾难恢复或LDAP不可用时执行操作.
>为用户提供一个正确安全的rbash,其中只有一个指向私有〜/ bin的PATH,这个〜/ bin /目录包含指向所有允许命令的链接,例如:
$ll ~/bin total 0 lrwxrwxrwx. 1 root dawud 14 Sep 17 08:58 clear -> /usr/bin/clear* lrwxrwxrwx. 1 root dawud 7 Sep 17 08:58 df -> /bin/df* lrwxrwxrwx. 1 root dawud 10 Sep 17 08:58 egrep -> /bin/egrep* lrwxrwxrwx. 1 root dawud 8 Sep 17 08:58 env -> /bin/env* lrwxrwxrwx. 1 root dawud 10 Sep 17 08:58 fgrep -> /bin/fgrep* lrwxrwxrwx. 1 root dawud 14 Sep 17 08:58 git -> /usr/bin/git* lrwxrwxrwx. 1 root dawud 9 Sep 17 08:58 grep -> /bin/grep* lrwxrwxrwx. 1 root dawud 10 Sep 17 08:58 rview -> /bin/rview* lrwxrwxrwx. 1 root dawud 13 Sep 17 08:58 sudo -> /usr/bin/sudo* lrwxrwxrwx. 1 root dawud 17 Sep 17 08:58 sudoedit -> /usr/bin/sudoedit* lrwxrwxrwx. 1 root dawud 13 Sep 17 08:58 tail -> /usr/bin/tail* lrwxrwxrwx. 1 root dawud 11 Sep 17 08:58 wc -> /usr/bin/wc*
>为用户提供受限制的只读环境(考虑LESSSECURE,TMOUT,HISTFILE等变量).这是为了避免shell减少命令,例如less并确保可审计性.
>出于同样的原因,唯一允许的编辑器isrvim.用户只能执行sudoedit,配置为在sudo配置中运行rvim:
Defaults editor=/usr/bin/rvim
>如果MAC限制到位(您使用的特定GNU / Linux发行版已启用SELinux),则用户将映射到SELinux用户staff_u,并有权通过sudo按需要执行其他用户的命令.需要仔细检查允许的特定漏洞以防止用户绕过这些限制,并且还可以在现有LDAP基础结构中部署(这是freeIPA功能之一).
>用户’/ home,/ tmp和/ var / tmp通过/etc/security/namespace.conf进行多实例化:
/tmp /tmp/.inst/tmp.inst-$USER- tmpdir:create root /var/tmp /tmp/.inst/var-tmp.inst-$USER- tmpdir:create root $HOME $HOME/$USER.inst/ tmpdir:create root
目录的多实例化并不是一项新功能,现在已经有很长时间了.作为参考,请参见this article from 2006.事实上,许多模块默认使用pam_namespace,但/etc/security/namespace.conf中的默认配置不启用多实例化.
此外,/ etc / security / namedspace.init应使所有骨架文件对用户只读,并由root拥有.
通过这种方式,您可以选择是否代表其他用户(通过sudo)代表自己(通过private / / bin目录中的链接,通过/ etc / skel提供,如上所述)代表自己执行任何命令(或通过/ etc / skel提供)一个都没有.
