如何创build一个没有function的新用户? 例如,他们不应该能够运行任何命令或查看任何目录(如果需要,除了他们的主目录)。
这个用户的唯一目的是允许Machine1创build一个到newlimiteduser @ Machine2(具有这个有限新用户的机器)的ssh连接,然后Machine2可以使用先前build立的ssh创build一个到Machine1的ssh连接作为隧道。
如果您使用ssh密钥并使用~/.ssh/authorized_keys的command=选项,您可以轻松地限制SSH会话可以执行的操作:
为machine1上的用户创build一个密钥对,该密钥对应该启动会话,并将其公钥添加到机器2上的受限用户的〜/ .ssh / authorized_keys,并在该行上添加如下内容:
command="/bin/sleep 1000d" ssh-rsa AAAA.....
这会导致会话刚刚hibernate1000天。 如果取消这个,会话将被终止。
您还可以做其他事情来进一步限制会话,请参阅man sshd以描述AUTHORIZED_KEYS文件格式。