Linux通过环境变量限制用户能执行的命令

最新推荐文章于 2023-02-17 23:42:33 发布
最新推荐文章于 2023-02-17 23:42:33 发布
阅读量3.7k 收藏 7
点赞数 3
分类专栏: Linux疑难杂症
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/victor2code/article/details/112437728
版权

最近公司有个场景,需要限制用户登陆以后可以执行的命令,从而提高系统的安全性。本身bash已经有了一个受限制的版本叫做rbash,我们在这个基础上还可以通过环境变量的方式对用户做进一步的限制。

文章目录

受限制的shell

正常情况下用useradd xx去创建用户的时候给用户配置的shell都是bash,这个可以通过查看文件/etc/passwd或者是通过命令echo $SHELL进行确认。

查看bash命令的man页面会发现bash还有一个受限制模式,如下
01_rbash.jpg

当执行bash命令的时候带上-r参数或者是--restricted的时候,当前的shell就由普通的bash变成了受限制的shell,上图红框内的命令就都执行不了了,我这里就不一一翻译了,选取最前面的几条罗列下

  • 不能使用cd命令,也就意味着不能切换目录
  • 不能设置SHELLPATHENVBASH_ENV这四个环境变量,也就意味着不能切换shell,不能修改命令查找路径
  • 不能执行带/的命令,也就意味着只能直接执行环境变量PATH中的命令

有了这个受限制的shell,用户基本上就被限制在自己的home目录下,并且只能执行PATH下的命令。

但是这个还不够,我们还需要在不影响别的用户的前提下将受限制用户能执行的命令进行限制,换句话说,需要继续限制该用户的PATH环境变量所包含的命令集合。如果我们能够将允许用户执行的命令都放在一个目录中,再将这个目录指定为PATH,那么就可以限制用户能够执行的命令了。下面看看怎么在用户登录的时候自动完成这一目标。

用户登录流程

用户在登录的时候会自动运行几个文件,来设置shell的环境变量,如下所示

  1. /etc/profile - 对所有用户生效,其中有一个for循环会从/etc/profile.d中执行.sh格式的文件
  2. /etc/bashrc - 对所有用户生效,如果用户使用的是bash,会自动执行该文件
  3. ~/.bash_profile - 放在用户home目录,对单用户生效,如果存在.bashrc文件还会执行该文件
  4. ~/.bashrc - 每次用户登录或者打开新的shell的时候都会执行该文件

我这里的思路是在/etc/profile.d中创建一个.sh文件,在其中设置好对应动作,这样用户登录以后就会自动执行该文件,达到限制的目的。借鉴网上的经验,可以直接忽略系统的profile文件,然后使用自定义的profile文件。

使用自定义profile文件

/etc/profile.d下创建login_tester.sh如下

#!/bin/bash
m=`whoami`

if [[ "${m}" == "tester" ]];then
    echo -e "\e[01;33m* ** 你目前登陆的是受限制的shell ** *\e[00m"
    ## 创建命令集合
    mkdir -p $HOME/bin
    rm -f $HOME/bin/*
    ln -s /bin/ls $HOME/bin
    ln -s /bin/ping $HOME/bin
    ln -s /usr/bin/ssh $HOME/bin/
    ln -s /usr/bin/ssh-keygen $HOME/bin/
    ln -s /usr/bin/expect $HOME/bin/
    ln -s /bin/grep $HOME/bin/
    ## 设置环境变量
    cat << EOF > $HOME/.newbash_profile
		export HISTFILESIZE=500000000
		export HISTSIZE=99999999
		export HISTTIMEFORMAT="%Y/%m/%d_%H:%M:%S :"
		export PATH=$HOME/bin
		export NAME=xiaofu
		EOF
		## 使用自定义profile文件
    chown ${m}:${m} $HOME/.newbash_profile
    exec bash --restricted --noprofile --rcfile $HOME/.newbash_profile
fi

首先判断登陆的用户是谁,如果是tester用户,会执行下面的操作。

第一部分是创建命令集合,在用户的home目录下创建bin目录,采用软连接的方式将可以被用户执行的命令放到该目录下;第二部分设置环境变量,在用户的home目录下创建.newbash_profile文件,和上面的4个文件一样,export设置环境变量,需要注意的是这里将PATH设置为了第一步中的bin文件,也就只让用户执行第一步中的几个命令;第三部分使用自定义profile文件,首先修改文件权限,保证用户能执行,然后是比较关键的一步

exec bash --restricted --noprofile --rcfile $HOME/.newbash_profile

这里的--restricted是将用户的shell变为受限制的shell,--noprofile是不加载系统的profile文件,也就是好上面的4个文件,然后是--rcfile加载我们自定义的profile文件。

这样设置以后,用户不能切换目录,也只能使用受限制的几个命令了。

验证

下面创建用户tester进行验证。

从root切换到tester用户会有下面的提示

02_tester.jpg

如果执行不被允许的命令会有提示

bash-4.2$ cd
bash: cd: restricted
bash-4.2$ cp
bash: cp: command not found

并且可以看到环境变量也配置成功

bash-4.2$ echo $PATH
/home/tester/bin
bash-4.2$ echo $NAME
xiaofu

后续

这个脚本目前只能针对tester用户进行限制,如果有多个用户,可以将受限制的用户名放在一个文件中,然后用类似下面的格式去做循环判断

#!/bin/bash

m=`whoami`

while read name
do
if [ $m == $name ];then
        echo "found it"  # 替换为创建自定义profile的脚本
        exit
fi
done < names.txt

echo "not found"

如果在名单列表中找到了当前登陆的用户则执行脚本,否则不做任何操作,我这里就不展开了,大家可以自己试试看。

我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。

T型人小付
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
linux用户某个命令,如何在Linux限制用户命令
weixin_35700754的博客
04-28 1076
有很多不同的方法可以实现这一目标.我将列出几种可能的解决方案之一.我建议使用几个不同的保护层来防止用户运行他们不应该被允许访问的命令.这里的所有指示都假设用户拥有自己的/ home / [username]目录,他们的shell是/ bin / bash,并且您希望他们在登录系统时使用bash shell.1)将用户bash更改为受限制bash模式,以便他们无法更改目录(如果您的系统上没有受限...
限制linux用户执行命令,如何在Linux限制用户命令
weixin_30415591的博客
05-07 1946
有很多不同的方法可以实现这一点。 我将列出几种可能的解决方案之一。我会建议使用几个不同的保护层来防止用户运行他们不应该被允许访问的命令。 这里的所有方向都假设用户有他们自己的/home/[username]目录,他们的shell是/bin/bash ,你希望他们在登录到系统时使用bash shell。1)更改目录权限,以便只有用户可以编辑其主目录的内容chmod 755 /home/[userna...
linux限制用户可用命令,如何使用rbash限制用户访问Linux系统指定命令 互联网技术圈 互联网技术圈...
weixin_42371226的博客
04-29 1268
我的一位朋友问我如何允许用户执行某些任务,并执行某些命令用户不应更改环境变量/路径,不能访问除主目录以外的其他目录,不能切换到其他用户等。用户只能执行系统管理员分配的少量命令。那可能吗?是!这是Restricted Shell提供帮助的地方。使用Restricted Shell,我们可以轻松限制用户Linux系统的访问。将用户置于受限shell模式后,只允许他们执行有限的命令集。在这个简短...
Linux开胃菜:bash 脚本无法执行cd命令
开发笔记
05-23 1774
source c.sh或者. ./c.sh,这时候就是直接在终端的shell执行脚本了
linux上电初始化脚本文件,详解bash中的初始化机制
weixin_42431577的博客
05-02 430
Bash初始化文件交互式login shell在下列情况下,我们可以获得一个login shell:登录系统时获得的顶层shell,无论是通过本地终端登录,还是通过网络ssh登录。这种情况下获得的login shell是一个交互式shell。在终端下使用--login选项调用bash,可以获得一个交互式login shell。在脚本中使用--login选项调用bash(例如:#!/bin/bash...
小计一下(Restricted shell)
weixin_33921089的博客
03-20 135
假如我们需要限制一个Linux用户只能使用我们指定的命令,那么可以使用限制的shell。在正常的命令环境下使用:测试: #bash-r#进入限制的shell #cd/ bash:cd:restricted #exit具体设置:#useraddtest#添加用户 #cdbin #...
Linux基础之帮助_help、man命令
欢迎光临
09-27 204
1、help 命令所在路径:Shell内置命令 执行权限:所有用户 语法:help 命令 功能描述:获得Shell内置命令的帮助信息 范例: $ help umask 查看umask命令的帮助信息 2、man 命令所在路径:/usr/bin/man 执行权限:所有用户 语法:man [命令或配置文件] 功能描述:获得帮助信息 范例: $ man ls 查看ls命令的帮助信息 $ man services 查看配置文件services的帮助信息 ...
限制linux用户可使用的命令及权限的两种方案
猫步旅人- 程序员的旅途
07-16 5294
文章目录方案一方案二梳理 bash-4.2 源代码添加代码通过配置加载允许访问的命令如何使 testuser 用户能够正确需要超级权限的操作总结 这段时间思考了这么一个问题,如何限制 linux 系统中登录用户的访问权限,限制用户能够使用的命令。在某些场景下,要求能够限制用户使用的命令,同时还能够执行想shutdown这种超级用户才能使用的命令。 方案一 以 rbash 的方式来限制用户的访问权限,在 ubuntu 系统中,直接使用 bash -r 就可以进入 rbash,在 centos 7 系统中,不
Linux安全之禁用特定命令
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
01-11 1万+
背景 操作 1、禁用普通用户su到root 2、禁用普通用户执行某些命令 3、禁用root执行某些命令和授权sudo 1)禁止授权普通用户sudo: chmod u+w /etc/sudoers 2)vi /etc/sudoers ,编辑sudoers文件,找到以下行: xxx ALL = (ALL) ALL ## 将xxx替换为允许sudo的普通用户名,后面,ALL,限制sudo执行命令; 2)限制root执行某些命令 3)禁用内部命令 root下执行help可查看内部命令,然后执行:ena
linux shell脚本中root切换到普通用户执行脚本或命令的方法
09-15
Linux系统中,有时我们需要以root用户身份运行脚本,但在执行某些操作时,可能需要切换到普通用户来完成,例如安装软件包、配置非特权服务等。在shell脚本中实现这种切换是非常常见的需求。本文将详细介绍如何在...
PHP在linux执行外部命令的方法
12-18
- 命令路径:使用绝对路径执行命令,避免因环境变量不同导致找不到命令。 - 错误处理:捕获并处理命令执行失败的情况,通过`$return_var`检查命令状态码。 - 代码兼容性:确保在不同的Linux发行版或不同版本的PHP中...
Linux配置tomcat环境,用户
01-09
Linux系统中,配置Apache Tomcat环境涉及到多个步骤,包括用户组配置、JDK的安装与环境变量设置、Tomcat的安装以及权限管理等。这些步骤对于确保Tomcat服务器的安全性和稳定性至关重要。以下是对这些知识点的详细...
linux 系统管理篇--环境变量
03-08
通过上述知识点的详细介绍,我们可以了解到Linux环境中环境变量的重要性和多种操作方法,包括如何创建、查询、修改和删除环境变量等。同时,我们还了解了如何利用C语言处理环境变量,以及如何通过配置文件如`/etc/...
linux授权命令给非root用户.docx
09-13
本文将深入探讨如何通过授权来让非root用户使用通常只有root才能执行命令,以及一些相关的Linux命令和概念。 首先,`/sbin`目录下的命令主要是系统管理命令,这些命令通常需要root权限才能运行。而`/bin`目录下的...
linux oracle imp exp 执行命令安装
08-20
通过以上步骤,你可以在Linux环境中成功安装并使用Oracle的`imp`和`exp`命令进行数据的导入和导出操作。在实际应用中,根据具体的网络环境、数据库版本和安全策略,可能还需要进行额外的配置和调整。
Linux用户管理与权限控制
陈艺秋的博客
02-01 1483
linux
解决: -bash: cd: data/: 权限不够;;无法(不能进入一个文件夹)的解决办法
热门推荐
weixin_44797327的博客
12-30 2万+
解决: -bash: cd: data/: 权限不够;;无法(不能进入一个文件夹)的解决办法 是因为权限的问题 显然:此文件夹的权限为:drwxrw----. 而正常能打开的是:drwxr-xr-x. 解决办法:只需将drwxrw----.的权限更改为drwxr-xr-x.即可, 但是使用什么命令呢:如下 [root@bogon /]#chmod 755 /data -R 再次使用命令查看: ...
如何在 Linux 的 shell 里针对特定用户/组来限制某些命令的使用
BASK2312的博客
12-08 2869
最近,业务侧有个需求,需要禁止特定用户访问linux特定的命令,如禁止用户A使用rm命令。我们知道,在linux系统中,一切皆文件。那么,这个问题也可以泛化为:如何在linux限制特定用户/用户组对特定文件/文件夹的访问权限的控制?为了叙述方便,这里将需求收拢:如何限制用户使用rm命令。这里会涉及到一些基础知识,可以详见第二章节: 基础知识补充首先看下 rm 的权限 可以看到:rm命令针对root用户的权限是755,也就是说root可以可读可写可执行,针对root所在的组(这里是wheel)是可读可执
[Linux篇] Linux常见命令和权限
qq_54883034的博客
02-17 2063
给一个命令,这个命令中都有哪些选项,每个选项都有什么意思,因为很多我们是记不来的。通过XShell登录到Linux之后,只有一行命令,我们要通过命令行来操作Linux,其实Linux和Windows都是一个操作系统,只不过Windows是通过图形化界面来操作的,通过对话框,窗口,键盘,鼠标来操作。表示的就是此电脑,一个系统上所有的文件和目录都是在这个此电脑中的,就会把所有的系统文件和用户文件都给删除了,不光把你一些重要文件给删了,同时也把系统的文件给删了,此时就相当于一切都灰飞烟灭了,这个系统就挂了。
linux 添加用户共用环境变量
最新发布
09-13
要在Linux中添加用户共用环境变量,你可以按照以下步骤进行操作: 1. 首先,登录到Linux系统并以管理员身份运行命令行终端。 2. 使用命令`source /usr/local/anaconda3/bin/activate`来激活共享环境。 3. 然后,将用户添加到与共享环境相关的用户组中。你可以使用命令`usermod -aG group user`将用户添加到用户组中,其中`group`是共享环境的用户组,`user`是要添加的用户用户名。 4. 接下来,设置子目录组继承,以确保用户能够访问共享环境的相关目录和文件。你可以使用命令`find /usr/local/anaconda3/ -type d -exec chmod g+s {} \;`来实现这一目的。这将在共享环境的所有子目录中设置组继承权限。 5. 最后,为了确保共享环境的安全性,你可以关闭共享环境的写入权限。你可以使用命令`chmod go-w /usr/local/anaconda3`来将共享环境的写入权限限制为只读。 通过按照以上步骤进行操作,你可以成功地将用户添加到共享环境,并确保他们能够共享环境变量
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值