[REGLE] Restreindre les commandes en console

'Alut !

Je vous place le contexte :

Je suis parti d’un script shell que j’ai modifié afin de lancer un serveur de jeu avec l’utilisateur trackmania comme propriétaire des processus.
Ce script est appelé au boot de la machine.

Maintenant je souhaiterais que lorsque cet utilisateur se connecte en ssh, il ne puisse faire que 3 choses. Arrêter le serveur de jeu, le démarrer ou le redémarrer s’il tournait déjà.
Autrement dit les 3 commandes suivantes :

% /etc/init.d/tmdedicated start % /etc/init.d/tmdedicated stop % /etc/init.d/tmdedicated restart

Cependant, comme dans le script il y a d’autres commandes, je pense qu’il faut aussi lui permettre de les utiliser…

J’ai beau chercher sur le net, je n’ai vu qu’une chose : le mode RESTRICTED. Ceci ne me donne pas assez de possibilités :confused:

Donc comment faire pour que lorsque mon utilisateur se connecte en ssh, lorsqu’il joue avec zsh il ne puisse rien faire d’autre (ou presque) que ce que je veux lui autoriser ?

Voici le script tmdedicated utilisé.

Par avance merci pour vos lumières :slightly_smiling:
C@rtm@n

Essayes sudo:

||/ Nom Version Description +++-===========================-======================================= ii sudo 1.6.8p12-4 Provide limited super user privileges to specific users

Merci pour ton aide jabba :slightly_smiling:

J’ai ajouté les 3 commandes avec visudo et mis le shell /bin/rzsh à mon utilisateur, impeccable il ne peut presque plus rien faire comme je le voulais.

En revanche il n’accède plus à son home directory par le FTP :confused:
J’ai donc mis le shell /bin/rbash.

Il n’y a pas moyen d’avoir le FTP (proftpd) avec rzsh ?

Je ne connais pas rzsh mais tu peux configurer Proftpd de manière complètement indépendante par rapport aux utilisateurs déclarés au niveau de ton système. Tu peux faire des utilisateurs “virtuels”, c’est à dire qui ne sont déclarés que au niveau de la configuration de Proftpd.

[quote]En revanche il n’accède plus à son home directory par le FTP Confused
J’ai donc mis le shell /bin/rbash. [/quote]
Ca, ca dépend de la configuration de proftpd, tu lui dis dans son fichier de config ou tu veux mettre le directory de login FTP.
Ca fait un moment que j’ai plus configuré de proftpd mais la doc est bien faite et il y a plein d’exemples:$

<Anonymous /netbackup/ftp-data/users/ids> User ids #Group nobody #UserAlias bej ids AnonRequirePassword on DirFakeUser on applicuser DirFakeGroup on applicgrp DirFakeMode 0777 #0644 <Directory /*> AllowOverwrite on <Limit WRITE DIRS READ DELE MKD RMD> AllowAll </Limit> </Directory> </Anonymous>
Ce sont des règles de style “apache” à placer dans le fichier de conf. Dans cet exemple, tu peux voir que j’ai redirigé les users dans un répertoire particulier.
Si ton ftp est accessible depuis internet, tu as intérêt à sécuriser un peu mieux que mon exemple … :wink:
Bref, à toi de voir ce que tu veux exactement…

Hum ça m’a pas l’air simple tout ça, je préfère pas trop toucher à proftpd, j’ai eu assez de mal à le faire fonctionner comme ça :laughing:
rbash suffira pour mon cas :wink:

Merci beaucoup :smiley:

@+, C@rtm@n

Il n’y a pas de quoi … :wink:

mais je le rèpète: la doc de proftpd est TRES bien faite et bourrée d’exemples. Avec ce soft tu peux vraiment bien sécuriser un ftp.

Je confirme, la doc de ProFTPd est un bijoux !