トップ «前の日記(08/16/2006) 最新 次の日記(08/18/2006)» 編集

本 日 の h o g e

hogeとはワイルドカードのようなものです。日々起こった、さまざまなこと −すなわちワイルドカード− を取り上げて日記を書く、という意味で名付けたのかというとそうでもありません。適当に決めたらこんな理由が浮かんできました。

更新情報の取得には rdflirs を使ってもらえると嬉しいです.


08/17/2006 うむ [長年日記]

tDiary 1393日目

[日記] 飯日記

  • 12時頃:スタミナ納豆丼
  • 21時頃:冷やし中華

[戯言] ふむ

俺自身は業績なんかどうでもいいんだよね.楽しいことがやれればそれでいいんだよ.

楽しいことを続けるために業績が必要ならやるしかないけど,今回のは 100% そうじゃないと思う.

と,期限内に仕事が終わる気がしない俺が来ましたよっと.寄り道してる暇はなし,と.

[日記] ssh

authorized_keys に command="" 書いて有無を言わさず特定のコマンドを実行させることはできる.sudo みたいに,ある (複数の) コマンドの実行だけ許可するというような設定はできないんだろうか?

鍵をコマンド毎に作るとかいうのはナシで.

そこまで行くと ssh の範疇外ということなんだろうか?

本日のツッコミ(全7件) [ツッコミを入れる]
rethi (08/18/2006 02:30)

んー、SolarisだったらRBAC使えばできると思うが。
特定のユーザにcronとか特定のサービス起動許可したりとか、ってことだよねぇ?
BSDだと、そもそもそういうのがあるか知らないが(;´ー`)
※RBAC:Role Based Access Controlの略
SolarisのRBAC機能でsudoを置き換える
http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/033rbac.html

kei (08/18/2006 11:08)

sshはシェルではない?ので、範囲外かなぁという気が。

制限シェル(restricted shell)を用意して、
それをログインシェルか、comment=""で起動するのがお手軽そうかと。

参考になるかわからないけれど、制限シェルかなこれは↓
http://lists.samba.org/archive/rsync/2002-May/002772.html
きちんと見てないので、ちがったらごめんなさい。

atzm (08/19/2006 19:00)

> rethi
これって強制アクセス制御の類いのものかな?
イマイチ分かってないけど,OS を選ぶとなると厳しいかなぁ.

> kei
ログインシェルを変えても,ssh user@host sh とかでどうにでもなる気が…….
シェルまで到達できるとすれば,そのユーザでできることならなんでもできることを意味するんじゃないのかな?
分かんないけど.

smbd (08/19/2006 21:16)

scponlyとかrsshっていうshellがあって、それだとscp, sftp, rsyc, svn, unisonとかしかできなくなるけどね

atzm (08/20/2006 00:19)

> kei
やっとそのスクリプトの意味が分かった.
なるほど,この考え方自体は使えそうだね.

> smbd
ファイル転送のみの用途ならそれでも良かったんだけどね…….
いよいよ解法が尽きたらこれも試してみるよ.

rethi (08/20/2006 01:44)

強制アクセス制御、とはちょっと違うかなぁ・・・。
どっちかっていうと権限の分離・委譲のための物かな。
ちなみに、RBACはSolaris8からの機能。

強制アクセス制御(MAC)の場合、SELinuxなど、TrustedOSと
呼ばれるOSであればまず標準で搭載しているものだね。
 ※ SELinuxってTrustedOSだよね・・・?(汗
一応、FreeBSDでもMACは一応あるみたいだが↓
 http://www.alib.jp/files/mac.html.ja.euc-jp
ただまぁ、未だに具体的になんのためにやろうとしている
ことなのか分からないので、頓珍漢な書き込みになってたら
すまん。

atzm (08/20/2006 19:45)

やりたいことはリモートアクセスコントロールかな.
ログインを許可したくない && そのためだけのユーザを用意したくない && 実行できるコマンドを制限したい.

SSH_ORIGINAL_COMMAND が現実的な解かなぁ.
自前で作るとなると考えなきゃいけないことが多くなってめんどくさいんだけど.