Re: Limitar comandos a un usuario
El 2024-12-23 a las 11:09 +0100, Roberto Leon Lopez escribió:
> Por requisitos de una auditoria el uso de “su" y “sudo" debe ser sustituido por una cuenta paralela para tareas administrativas, sin usar nunca root ni ninguna cuenta genérica.
>
> Se ha mencionado el uso de lshell, una shell que permite limitar los comandos que puede ejecutar un usuario que tenga una función ocasional de administrador muy concreta y para mitigar posibles daños. Ya no hay paquetes en Debian para lshell, ¿hay alguna otra alternativa para conseguir el control deseado?
El concepto de una shell limitada (como «lshell») lo veo más adecuado
para tu propósito.
Mira a ver si este artículo ta da alguna idea:
How to Use Restricted Shell to Limit What a Linux User Can Do
https://www.howtogeek.com/718074/how-to-use-restricted-shell-to-limit-what-a-linux-user-can-do/
Y también puedes retomar el uso de lshell, parece que hay un proyecto
actualizado en GitHub¹ (última actividad de hace 3 meses, 18
contribuidores...), basado en Python (se instala con PiP):
****
https://github.com/ghantoos/lshell
lshell is a shell coded in Python, that lets you restrict a user's
environment to limited sets of commands, choose to enable/disable any
command over SSH (e.g. SCP, SFTP, rsync, etc.), log user's commands,
implement timing restriction, and more.
****
El bug de Debian con la eliminación del paquete ():
RM: lshell -- RoQA; unmaintained, open security issues
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=862302
¹Parece que es el proyecto original (última versión 0.10, 2024).
https://github.com/ghantoos/lshell/blob/master/CHANGELOG.md
Saludos,
--
Camaleón
Reply to: