Блокировать определенную команду в Linux для конкретного пользователя

Как заблокировать команду, скажем, mkdirдля конкретного пользователя?

То, что я сделал, только что создал функцию только для чтения и сохранил в профиле пользователя ~/.bashrc

/bin/mkdir() {
        echo "mkdir command not allow for you"

}

mkdir() {
        echo "mkdir command not allow for you"

}
./mkdir() {

        echo "mkdir command not allow for you"
}

readonly -f /bin/mkdir
readonly -f mkdir
readonly -f ./mkdir

Тест:

rahul@ubuntu:~$ cd /bin/
rahul@ubuntu:/bin$ ./mkdir /home/rahul/ggg
mkdir command not allow for you
rahul@ubuntu:/bin$ cd
rahul@ubuntu:~$ mkdir testing
mkdir command not allow for you
rahul@ubuntu:~$ /bin/mkdir testing
mkdir command not allow for you

Итак, мой вопрос: каким должен быть способ достижения этого? есть ли инструмент для этого?

Обновление 1 # Но если пользователь умен, он может скопировать двоичный файл mkdir, переименовать его и использовать. Так как этого добиться?

Я не знаю, как это сделать с помощью bash, но я знаю другую оболочку, которая ограничивает пользовательскую среду: lshell (ограниченная оболочка) .

Краткий обзор конфигурации

Lshell настраивается через INI-файл. По умолчанию он содержит белый список разрешенных команд, но его можно легко настроить, чтобы запретить пользователю использовать определенную команду.

Эта конфигурация (настройка по умолчанию /etc/lshell.conf) запрещает пользователю fooиспользовать mkdir:

[foo]
allowed = 'all' - ['mkdir', 'bash', 'sh', 'csh', 'dash', 'env']

Чтобы настроить учетную запись пользователя для использования lshell по умолчанию, необходимо:

 chsh -s /usr/bin/lshell foo

Lshell может сделать больше, например:

• 3 уровня детализации: пользователь, группа, все.
• Может ограничивать доступ к определенным путям в системе.
• Можно ограничить использование определенных символов (например |).
• Можно ограничить использование определенных команд только через SSH.

И больше.

Обновление 1 # Добавлен результат теста:

rahul:~$ which bash
/bin/bash
rahul:~$ dd if=$(which bash) of=my_bash
*** forbidden syntax: dd if=$(which bash) of=my_bash
rahul:~$ bash
*** forbidden command: bash
rahul:~$ cp /bin/bash my_bash
*** forbidden path: /bin/bash
rahul:~$ /bin/bash
*** forbidden command: /bin/bash
rahul:~$ sh
*** forbidden command: sh
rahul:~$ dash
*** forbidden command: dash
rahul:~$ env bash
*** forbidden command: env
rahul:~$ cp /bin/mkdir mycreatedir
*** forbidden path: /bin/mkdir

То, как я обычно реализую такого рода ограничения, требует соблюдения нескольких условий, в противном случае ограничение можно легко обойти:

• Пользователь не принадлежит к wheelгруппе, единственный, кому разрешено использовать su(принудительно применяется через PAM).

• Пользователю предоставляется надлежащая защита rbashс доступной только для чтения переменной PATH, указывающей на частную ~/bin, этот ~/bin/каталог содержит ссылки на простые утилиты:

  $ ll ~/bin
  total 0
  lrwxrwxrwx. 1 root dawud 14 Sep 17 08:58 clear -> /usr/bin/clear*
  lrwxrwxrwx. 1 root dawud  7 Sep 17 08:58 df -> /bin/df*
  lrwxrwxrwx. 1 root dawud 10 Sep 17 08:58 egrep -> /bin/egrep*
  lrwxrwxrwx. 1 root dawud  8 Sep 17 08:58 env -> /bin/env*
  lrwxrwxrwx. 1 root dawud 10 Sep 17 08:58 fgrep -> /bin/fgrep*
  lrwxrwxrwx. 1 root dawud  9 Sep 17 08:58 grep -> /bin/grep*
  lrwxrwxrwx. 1 root dawud 10 Sep 17 08:58 rview -> /bin/rview*
  lrwxrwxrwx. 1 root dawud 13 Sep 17 08:58 rvim -> /usr/bin/rvim*
  lrwxrwxrwx. 1 root dawud 13 Sep 17 08:58 sudo -> /usr/bin/sudo*
  lrwxrwxrwx. 1 root dawud 17 Sep 17 08:58 sudoedit -> /usr/bin/sudoedit*
  lrwxrwxrwx. 1 root dawud 13 Sep 17 08:58 tail -> /usr/bin/tail*
  lrwxrwxrwx. 1 root dawud 11 Sep 17 08:58 wc -> /usr/bin/wc*
  

• пользователю предоставляется ограниченный, только для чтения окружающей среды (думаю такие вещи , как LESSSECURE, TMOUT, HISTFILEпеременных).

• пользователь сопоставляется с пользователем SELinux staff_uи получает права на выполнение команд от имени другого пользователя в соответствии с требованиями sudo.

• пользователь /home, /tmpи, возможно /var/tmp, полинстанциированы через /etc/security/namespace.conf:

  /tmp       /tmp/.inst/tmp.inst-$USER-     tmpdir:create   root
  /var/tmp   /tmp/.inst/var-tmp.inst-$USER- tmpdir:create   root
  $HOME      $HOME/$USER.inst/              tmpdir:create   root
  

  Кроме того, /etc/security/namespace.initделает все скелетные файлы доступными только для пользователя и принадлежащими root.

Таким образом, вы можете выбрать, $USERвыполнять ли mkdirего / ее от своего имени (через ссылку в личном ~/binкаталоге, предоставляемую через /etc/skel, как описано выше), от имени другого пользователя (через sudo) или вообще ничего.

Добавить фиктивную группу, добавьте пользователя в эту группу, chown root:somegroup /bin/mkdir, chmod g-x /bin/mkdir. Обратите внимание, что это зависит от того, что пользователь не может изменять свои группы. IIRC это верно в GNU / Linux, но не в некоторых других Unices.

Лучшее, что я тестировал, это использовать Profile.d лучший и самый безопасный способ

Шаг № 1 (создание файла псевдонимов)

[root@newrbe ~]# vim /etc/customalias.sh

Добавить ниже линии:

alias rm="echo remove contenet is restricted"
alias poweroff="echo Poweroff is restricted"
alias chmod="echo Change Permission is restristed"

Сохранить и выйти

Шаг № 2 (Создать загрузчик профиля)

/etc/profile.d/ это место содержит файлы для завершения bash

[root@newrbe ~]# vim /etc/profile.d/customsource.sh

Добавьте строки ниже под файлами, эти строки будут блокировать упомянутые команды для пользователей ниже

if [ `whoami` == "user1" ] && [ `whoami` == "user2" ]; then
    source /etc/customalias.sh
fi

сохранить и выйти

Теперь выйдите и перезапустите

С уважением, -Mansur

установить sudoers и попытаться настроить там, чьи пользователи и какая команда.