beschränken der bash auf bestimmte befehle

[sono]

Moin.

Weiß jeman wie ich es schaffe dass die bash eines bestimmten benutzers nur eine bestimmte (konfigurierbare) Auswahl an Befehlen bereit stellt.

oder wie lege ich einen benutzer an der nur auf ganz wenige Programme zugreifen kann und zwar nur auf die , die ich ihm in ner conf erlaube .

Geht sowas ?

 

[MrFenix]

Dir gehts wahrscheinlich um Account beschränkung für Kinder, oder? ^^
Ich weiß nicht, wie sicher und sinnvoll das ist, aber:
Verzeichnis 1 ist z.B. /usr/bin und nur die Gruppe Users hat Leserechte.
Verzeichnis 2 ist z.B. ~/bin und Gruppe Kinder hat darauf Leserechte.
Jetzt mit ln (ohne -s) einen Hardlink auf /usr/bin/programm in ~/bin/ erstellen und es sollte (vorrausgesetzt, dass others Execute Rechte auf den Inhalt von /usr/bin haben) gehen.
Die Konfiguration wäre dann ganz einfach das Löschen und Hinzufügen solcher Links in ~/bin/.
Dazu würde ich dann noch $PATH von Kind auf ~/bin setzten.

EDIT: Grade eingefallen und wahrscheinlich ne viel sauberere Lösung wäre das irgendwie mit Sudo zu machen, soweit ich weiß kann das auch dinge als nicht root ausführen.

 

[tig]

EDIT: Grade eingefallen und wahrscheinlich ne viel sauberere Lösung wäre das irgendwie mit Sudo zu machen, soweit ich weiß kann das auch dinge als nicht root ausführen.

Man kann in /etc/sudoers bspw. mit

tig ALL = (user,hier,eintragen)/sbin/halt

einstellen, wer unter welchem Benutzer was ausführen kann.

Mit

sudo -u username /sbin/halt

kann man dann sudo unter einem anderen Benutzer ausführen.

 

[Wolfgang]

Hallo
sudo ist schon recht sinnvoll, aber ich empfehle zusätzlich die
man shell|less -p "RESTRICTED SHELL"
Das bietet eigentlich bei richtiger Configuration fast alles was du suchst.

Gruß Wolfgang

 

[sono]

sudo usw ist ja um den leuten mehr rechte einzuräumen .

Ich will nen account der genau ls , mkdir und rm kennt aber jeden anderen Befehl nicht ausführt .

Bzw einen account in der Richtung .

 

[MrFenix]

Ja.. das geht doch mit Sudo..
Du nimmst den Benutzer aus der Users Gruppe, entfernst von allen Directories in $PATH die Exec Permission (rekursiv) für others und erlaubst dann mit sudo rm, ls und mkdir wieder.

 

[Wolfgang]

Hallo
Hast du dir meinen Vorschlag mal richtig angesehen?
glaub mir der kann dir genau das realisieren, wenn du da mal reinliest.
Ausserdem hast du ja bei der Erstellung die Möglichkeit diverse Pfade als da z.B. zur default shell zu setzen.
sudo bietet dir auch die Möglichkeit diverses zu verbieten.
man sudoerrs
Du wirst das schon schaffen.
Gruß Wolfgang

 

[sono]

Alles klar. Hatte sudo nur als möglichkeit zum erweitern der Rechte , nicht zum einschränken im Kopf. Deshalb hab ich das nicht sofort als Lösung verstanden.

Dann werde ich mal schauen wie ich das so gebacken bekomme.
Danke für eure Hielfe.

Gruß Sono