Crear usuario que pueda hacer login pero sólo pueda ejecutar un programa.
Hola a tod@s,
Estoy dándole vueltas a una necesidad que tengo y no encuentro la forma.
Necesito crear un usuario que se pueda conectar por SSH pero que no
pueda ejecutar nada, ni siquiera un "ls", y sólo ejecute los comandos
que yo le especifique.
Estoy creando el usuario de esta forma:
# groupadd noejecutan
# useradd -M -g noejecutan -c "Usuario 01" usuario-01
# passwd usuario-01
Así, me puedo logar por SSH y puedo ejecutar "ls", "mysql", etc...,
aunque no me permite ejecutar un "rm".
Si edito el "/etc/sudoers" y pongo:
----------------------------------------------------------------------------------------------------------------------------
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping,
/sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm,
/usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig
Cmnd_Alias LOCATE = /usr/sbin/updatedb
Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted,
/sbin/partprobe, /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
Cmnd_Alias DRIVERS = /sbin/modprobe
Defaults env_reset
Defaults env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR \
LS_COLORS MAIL PS1 PS2 QTDIR USERNAME \
LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION \
LC_MEASUREMENT LC_MESSAGES LC_MONETARY LC_NAME
LC_NUMERIC \
LC_PAPER LC_TELEPHONE LC_TIME LC_ALL LANGUAGE LINGUAS \
_XKB_CHARSET XAUTHORITY"
root ALL=(ALL) ALL
%noejecutan ALL = (ALL) !ALL
%noejecutan ALL = NOPASSWD: /usr/bin/mysql
----------------------------------------------------------------------------------------------------------------------------
No consigo nada, puede hacer lo mismo.
¿Qué podría hacer para conseguir lo que quiero?, vamos, si es que es posible...
Espero haberme explicado...
Saludos y gracias,
Ramses
Reply to: