ZA / Montréal / MiseEnPlaceLshell

Limitation des accès shell au serveur

Outils utilisé : LSHELL

Exemple de configuration (pour l'envoie de la LUF)

NB : lshell n'étant disponible que dans squeeze (le serveur est sous Lenny), j'ai fais une installation manuellement après avoir téléchargé l'archive. NB : backports pour lenny http://www.simc.be/debian/pool/main/l/lshell/

[global]
logpath         : /var/log/lshell/
loglevel        : 4
[default]
allowed         : ['ls','echo','cd','ll']
forbidden       : [';', '&', '|','`','>','<', '$(', '${']
warning_counter : 3
aliases         : {'ll':'ls -l', 'vi':'vim'}
intro           : "== Serveur ceca.auf.org ==\nBienvenue : vous etes dans un shell a acces limite -- soyez prudent !\nTaper '?' ou 'help' pour avoir la liste des les commandes que vous pouvez utiliser"
overssh         : ['ls', 'rsync']

[grp:letters-senders]
allowed         : ['ls','cd','mv','vi','rm','passwd','at','/usr/local/sbin/envoie-lettres/scripts/job','/usr/local/sbin/envoie-lettres/scripts/lettre-info-envoi.sh']
# A VOIR : ajouter /usr/local/sbin/envoie-lettres/scripts à la variable env_path, et autoriser toutes les commandes de ce dossiers
# les utilisateurs ne peuvent accéder qu'à ce dossiern en plus de leur home
path            : ['/usr/local/sbin/envoie-lettres']
# les commandes qu'on peut lancer par ssh
overssh         : ['scp','/usr/local/sbin/envoie-lettres/scripts/job','/usr/local/sbin/envoie-lettres/scripts/lettre-info-envoi.sh','at']
scp             : 1
#scpforce       : '/usr/local/sbin/envoie-lettres'     ==> désactivé car on n'avait même plus accès aux sous-répertoires du dossier concerné

ZA/Montréal/MiseEnPlaceLshell (dernière édition le 2014-03-28 13:27:53 par PatrickHétu)