这是一个安全的 idea .我们的员工可以访问linux服务器上的一些命令,但不能访问所有命令.例如,它们应能够访问日志(log)文件(less logfile)或启动不同的命令(shutdown.sh/run.sh).
背景资料:
所有员工使用相同的用户名访问服务器:我们的产品以"正常"用户权限运行,不需要"安装".只需在用户目录中解压并运行它.我们管理几个安装了应用程序的服务器.每台机器上都有一个用户johndoe.我们的员工有时需要在命令行上访问应用程序,以访问和判断日志(log)文件,或手动重新启动应用程序.只有一些人可以完全访问命令行.
我们正在服务器上使用ppk身份验证.
如果employee1只能访问日志(log)文件,employee2也可以执行X等操作,那就太好了...
Solution:
command="/bin/myscript.sh",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty
ssh-dss AAAAB3....o9M9qz4xqGCqGXoJw= user@host
这对我们来说已经足够安全了.谢谢大家!