hogeとはワイルドカードのようなものです。日々起こった、さまざまなこと −すなわちワイルドカード− を取り上げて日記を書く、という意味で名付けたのかというとそうでもありません。適当に決めたらこんな理由が浮かんできました。 更新情報の取得には rdf か lirs を使ってもらえると嬉しいです.
更新情報の取得には rdf か lirs を使ってもらえると嬉しいです.
俺自身は業績なんかどうでもいいんだよね.楽しいことがやれればそれでいいんだよ.
楽しいことを続けるために業績が必要ならやるしかないけど,今回のは 100% そうじゃないと思う.
と,期限内に仕事が終わる気がしない俺が来ましたよっと.寄り道してる暇はなし,と.
authorized_keys に command="" 書いて有無を言わさず特定のコマンドを実行させることはできる.sudo みたいに,ある (複数の) コマンドの実行だけ許可するというような設定はできないんだろうか?
鍵をコマンド毎に作るとかいうのはナシで.
そこまで行くと ssh の範疇外ということなんだろうか?
んー、SolarisだったらRBAC使えばできると思うが。特定のユーザにcronとか特定のサービス起動許可したりとか、ってことだよねぇ?BSDだと、そもそもそういうのがあるか知らないが(;´ー`)※RBAC:Role Based Access Controlの略SolarisのRBAC機能でsudoを置き換えるhttp://www.atmarkit.co.jp/fsecurity/rensai/securitytips/033rbac.html
sshはシェルではない?ので、範囲外かなぁという気が。制限シェル(restricted shell)を用意して、それをログインシェルか、comment=""で起動するのがお手軽そうかと。参考になるかわからないけれど、制限シェルかなこれは↓http://lists.samba.org/archive/rsync/2002-May/002772.htmlきちんと見てないので、ちがったらごめんなさい。
> rethiこれって強制アクセス制御の類いのものかな?イマイチ分かってないけど,OS を選ぶとなると厳しいかなぁ.> keiログインシェルを変えても,ssh user@host sh とかでどうにでもなる気が…….シェルまで到達できるとすれば,そのユーザでできることならなんでもできることを意味するんじゃないのかな?分かんないけど.
scponlyとかrsshっていうshellがあって、それだとscp, sftp, rsyc, svn, unisonとかしかできなくなるけどね
> keiやっとそのスクリプトの意味が分かった.なるほど,この考え方自体は使えそうだね.> smbdファイル転送のみの用途ならそれでも良かったんだけどね…….いよいよ解法が尽きたらこれも試してみるよ.
強制アクセス制御、とはちょっと違うかなぁ・・・。どっちかっていうと権限の分離・委譲のための物かな。ちなみに、RBACはSolaris8からの機能。強制アクセス制御(MAC)の場合、SELinuxなど、TrustedOSと呼ばれるOSであればまず標準で搭載しているものだね。 ※ SELinuxってTrustedOSだよね・・・?(汗一応、FreeBSDでもMACは一応あるみたいだが↓ http://www.alib.jp/files/mac.html.ja.euc-jpただまぁ、未だに具体的になんのためにやろうとしていることなのか分からないので、頓珍漢な書き込みになってたらすまん。
やりたいことはリモートアクセスコントロールかな.ログインを許可したくない && そのためだけのユーザを用意したくない && 実行できるコマンドを制限したい.SSH_ORIGINAL_COMMAND が現実的な解かなぁ.自前で作るとなると考えなきゃいけないことが多くなってめんどくさいんだけど.
間違った英語が大ハヤリ
雑多
んー、SolarisだったらRBAC使えばできると思うが。
特定のユーザにcronとか特定のサービス起動許可したりとか、ってことだよねぇ?
BSDだと、そもそもそういうのがあるか知らないが(;´ー`)
※RBAC:Role Based Access Controlの略
SolarisのRBAC機能でsudoを置き換える
http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/033rbac.html
sshはシェルではない?ので、範囲外かなぁという気が。
制限シェル(restricted shell)を用意して、
それをログインシェルか、comment=""で起動するのがお手軽そうかと。
参考になるかわからないけれど、制限シェルかなこれは↓
http://lists.samba.org/archive/rsync/2002-May/002772.html
きちんと見てないので、ちがったらごめんなさい。
> rethi
これって強制アクセス制御の類いのものかな?
イマイチ分かってないけど,OS を選ぶとなると厳しいかなぁ.
> kei
ログインシェルを変えても,ssh user@host sh とかでどうにでもなる気が…….
シェルまで到達できるとすれば,そのユーザでできることならなんでもできることを意味するんじゃないのかな?
分かんないけど.
scponlyとかrsshっていうshellがあって、それだとscp, sftp, rsyc, svn, unisonとかしかできなくなるけどね
> kei
やっとそのスクリプトの意味が分かった.
なるほど,この考え方自体は使えそうだね.
> smbd
ファイル転送のみの用途ならそれでも良かったんだけどね…….
いよいよ解法が尽きたらこれも試してみるよ.
強制アクセス制御、とはちょっと違うかなぁ・・・。
どっちかっていうと権限の分離・委譲のための物かな。
ちなみに、RBACはSolaris8からの機能。
強制アクセス制御(MAC)の場合、SELinuxなど、TrustedOSと
呼ばれるOSであればまず標準で搭載しているものだね。
※ SELinuxってTrustedOSだよね・・・?(汗
一応、FreeBSDでもMACは一応あるみたいだが↓
http://www.alib.jp/files/mac.html.ja.euc-jp
ただまぁ、未だに具体的になんのためにやろうとしている
ことなのか分からないので、頓珍漢な書き込みになってたら
すまん。
やりたいことはリモートアクセスコントロールかな.
ログインを許可したくない && そのためだけのユーザを用意したくない && 実行できるコマンドを制限したい.
SSH_ORIGINAL_COMMAND が現実的な解かなぁ.
自前で作るとなると考えなきゃいけないことが多くなってめんどくさいんだけど.