Linux 建立只能转发的最小权限SSH帐号

一直在用自己的VPS给朋友做SSH转发,一般方法建立的linux系统帐号的shell是/bin/bash 虽然权限不高,但登陆系统后可以执行一些常用命令,查看一些配置文件,有一定的安全隐患。解决这个问题最稳妥的方式是将这些SSH转发用账户的权限最小化,最理想状态是SSH用户根本不能登陆系统只能做转发。

如何在 Linux建立只能SSH转发却不能登陆系统的账户可以参考下面的方法

使用如下命令在服务器上建一个用户:

useradd -s /bin/false  username

-s参数可指定用户的shell,这里设置成了 /bin/false。这样用户就无法与系统进行交互。

为新建转发SSH账户设置密码:

passwd username

使用Plink (http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)转发命令为:

plink -v -C -N -D 127.0.0.1:7070 -pw password username@fendou.info

-v:显示详细连接信息(可选); -C:压缩数据(可选); -N:不开启Shell(必选); -D:端口转发(不选这个你研究毛线呢?)。你也可以在plink目录下建立个批处理ssh.bat,利用goto防止掉线。

:go
plink -v -C -N -D 127.0.0.1:7070 -pw password username@fendou.info
goto go

如果想使用已经存在的SSH帐号,可以直接修改 /etc/passwd 文件,修改其shell为/bin/false即可。

《Linux 建立只能转发的最小权限SSH帐号》有1个想法

发表评论

电子邮件地址不会被公开。 必填项已用*标注