一度、ホームネットワークを改ざんにあって破壊されたので再度、VPNでのリモート接続などを家向けに接続できるようにはしたが、すこしセキュリティを高めて公開用のユーザに対して、踏み台経由にてTrusted-Zoneに入れるようにしている。
踏み台のユーザ設定を以下のように行うと、ある程度実行コマンドは抑制される。とはいっても入られたらどうしようもない。。
-
SHELL作成&ユーザ作成
[telnet]
ユーザ作成時に、別シェルを準備してそのSHELLを適応するようにする。
# ln -s /bin/bash /bin/rbash
# useradd -u 10000 -g 10000 -m -d /home/hoge1234 -s /bin/rbash hoge1234
-
環境変数設定
[telnet]
履歴は残らないように、ホームディレクトリしかパスが通らないようにする。
# cat /home/hoge1234/.bash_profile
history -c
echo /dev/null > ~/.bash_history
export HISTCONTROL=ignoreboth
export HISTCONTROL=ignorespace
PATH=/home/hamamoto
export PATH
-
指定コマンドの配置
[telnet]
ホームディレクトリに、リンクで必要なコマンドを記載。ここではSSH接続をしたいので、リンクを作成。sshcommandで接続ができる。
# ln -s /usr/bin/ssh /home/hoge1234/.sshcommand