前面有写一篇关于账号管理的文章Linux服务器账号管理策略,里面就有写到lshell这个工具。

现在写一下怎么利用lshell这个工具把一台Linux系统变成一台堡垒机(跳转机)。

一、跳转机的基本功能
1、多用户权限管理
2、限制登录用户所处的目录
3、限制登录用户能使用的命令
4、记录登录用户执行的命令

基本上在堡垒机上只要能执行ls、scp、ssh、passwd等几个命令就行。

准备一台Linux服务器安装lshell工具,添加受限用户组和用户,设置好能执行的命令,做为堡垒机使用,然后在其它服务器上在/etc/hosts.allow中设置只能从这台堡垒机服务器上远程登录。
转载本站文章请注明出处:黄海兵haibing.org

二、安装和启用lshell
2.1、安装Linux系统
可以安装一个最简单的CentOS系统,多余的东西都不要安装,后面需要什么再安装什么。
安装完,可以加强这台服务器的安全设置,可以禁用或删除各种不需要的服务、文件。
开防火墙
开SELinux

2.2 安装lshell工具
如果堡垒机没有联网,可以从别的地方下载安装文件,再复制过来。
文章后有提供下载地址。
如果是CentOS7,需要先安装一下依赖软件
#yum install *ncurses*
#pip install readline

#git clone https://github.com/ghantoos/lshell.git
#cd lshell
#python setup.py install
如果没报错,即安装完成。
可以直接执行lshell命令确认:
# lshell
You are in a limited shell.
Type ‘?’ or ‘help’ to get the list of allowed commands
root:~$
出现上面的提示,说明安装成功。
如果有出现提示找不到lshell.conf文件时,我们需要把/etc/lshell.conf做个软链接过去。
FileNotFoundError: [Errno 2] No such file or directory: ‘/usr/local/python/etc/lshell.conf’
做个软链接:
# mkdir /usr/local/python/etc/
#ln -s /etc/lshell.conf /usr/local/python/etc/lshell.conf
查看lshell安装后的路径,后面创建受限用户时需要:
#which lshell
/usr/bin/lshell
转载本站文章请注明出处:黄海兵haibing.org

2.3 创建受限账号
根据不同的岗位创建不同用户组、不同的用户,每个人一个账号。
创建三个用户组:
admin:运维人员
dba:数据库人员
web:开发
#groupadd admin
#groupadd dba
#groupadd web

创建受限用户:
根据不同用户的职责划分给不同的组中,并且可以在这里指定默认的shell为lshell
#useradd -g admin -s /usr/bin/lshell user1
#useradd -g dba -s /usr/bin/lshell user2
#useradd -g web -s /usr/bin/lshell user3

也可以在创建用户后,修改用户默认的shell
只有改变用户默认的shell,才能使lshell对用户生效。
直接修改/etc/passwd:
user_name:x:504:504::/home/user_name:/bin/bash
把用户最后的/bin/bash修改成/usr/bin/lshell
或者使用chsh命令:
# chsh -s /usr/bin/lshell user_name
转载本站文章请注明出处:黄海兵haibing.org

三、配置lshell
3.1 开启日志

本文隐藏内容需付费查看, 点击文章最后链接付费查看

前往文库查看全文(文库文章最后有提供lshell的下载地址):
https://max.book118.com/html/2019/0916/8140021070002050.shtm
(只要使用游客身份扫码付款下载即可,不用注册没有其它任何手续)

发表评论