{"id":4841,"date":"2020-04-19T03:11:54","date_gmt":"2020-04-19T06:11:54","guid":{"rendered":"https:\/\/blog.clusterweb.com.br\/?p=4841"},"modified":"2020-04-19T03:11:54","modified_gmt":"2020-04-19T06:11:54","slug":"lshell-limitando-ambiente-e-comandos-a-usuarios-grupos","status":"publish","type":"post","link":"https:\/\/blog.clusterweb.com.br\/?p=4841","title":{"rendered":"LSHELL – LIMITANDO AMBIENTE E COMANDOS A USU\u00c1RIOS\/GRUPOS"},"content":{"rendered":"

Esta dica ir\u00e1 mostrar um exemplo de configura\u00e7\u00e3o do\u00a0lshell<\/em>, em um sistema\u00a0Debian Squeeze<\/em>, para limitar a execu\u00e7\u00e3o de comandos previamente liberados para um determinado usu\u00e1rio ou grupo, bem como os diret\u00f3rios aos quais o usu\u00e1rio poder\u00e1 ter acesso, dentre outras op\u00e7\u00f5es relacionadas ao seu ambiente shell.<\/p>\n

Instala\u00e7\u00e3o do lshell:<\/p>\n

# aptitude install lshell<\/strong><\/p>\n

Configura\u00e7\u00e3o do lshell –\u00a0\/etc\/lshell.conf<\/em>:<\/p>\n

# gedit \/etc\/lshell.conf<\/strong><\/p>\n

[global]<\/p>\n

## Diret\u00f3rio de logs.
\n## Usu\u00e1rio deve ser membro do grupo lshell.<\/span>
\nlogpath\u00a0\u00a0\u00a0\u00a0\u00a0: \/var\/log\/lshell\/<\/p>\n

## N\u00edvel de log: 0, 1, 2 ou 3.<\/span>
\nloglevel\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0: 3<\/p>\n

## Nome do arquivo de log. (Padr\u00e3o %u.log. Ex: usuario.log)<\/span>
\nlogfilename\u00a0\u00a0\u00a0: %y%m%d-%u<\/p>\n

## Configura\u00e7\u00e3o padr\u00e3o. Poder\u00e3o ser criadas configura\u00e7\u00f5es
\n## separadas para cada usu\u00e1rio ou grupo.
\n## Ex: [usuariox], [grp:users]<\/span>
\n[default]<\/p>\n

## Lista de comandos permitidos ao usu\u00e1rio. Use ‘all’ para permitir
\n## todos os comandos na vari\u00e1vel PATH do usu\u00e1rio.<\/span>
\nallowed\u00a0\u00a0\u00a0\u00a0\u00a0: [‘ls’,’echo’,’cd’,’ll’,’date’,’hora’,’vim’,’vi’,’cat’]<\/p>\n

## Lista de comandos ou caracteres proibidos.<\/span>
\nforbidden\u00a0\u00a0\u00a0\u00a0\u00a0: [‘;’, ‘&’, ‘|’,’`’,’>’,'<‘, ‘$(‘, ‘${‘, ‘cat’]<\/p>\n

## Lista de comandos permitidos quando usados com sudo.
\n## Devem estar previamente configurados em \/etc\/sudoers.<\/span>
\nsudo_commands\u00a0\u00a0\u00a0\u00a0: [‘modprobe’, ‘iptables’]<\/div>\n

\n## N\u00famero de avisos que o usu\u00e1rio ter\u00e1 antes de ser desconectado
\n## ap\u00f3s tentar entrar em um diret\u00f3rio n\u00e3o permitido ou executar
\n## um comando da lista ‘forbidden’.<\/span>
\nwarning_counter : 5<\/p>\n

## Aliases para comandos. (alias e comando devem estar na lista ‘allowed’)<\/span>
\naliases\u00a0\u00a0\u00a0\u00a0\u00a0: {‘ll’:’ls -l’, ‘vi’:’vim’, ‘hora’:’date +%H:%M’}<\/p>\n

## Texto a ser exibido ao iniciar o lshell.<\/span>
\nintro\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0: “== Ambiente restrito ==\\nDigite ‘?’ ou ‘help’ para ver a lista de comandos permitidos.”<\/p>\n

## Tempo m\u00e1ximo de inatividade em segundos antes
\n## do usu\u00e1rio ser automaticamente desconectado.<\/span>
\ntimer\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0: 300<\/p>\n

## Lista de pastas as quais poder\u00e3o ser acessadas pelo usu\u00e1rio.<\/span>
\npath\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0: [‘\/tmp\/’,’\/var’]<\/p>\n

## Define o diret\u00f3rio home do usu\u00e1rio. Se n\u00e3o especificado,
\n## sera utilizado o valor da vari\u00e1vel de ambiente $HOME.
\n#home_path\u00a0\u00a0\u00a0\u00a0: ‘\/home\/usuario\/’<\/p>\n

## Altera a vari\u00e1vel de ambiente PATH do usu\u00e1rio.
\n#env_path\u00a0\u00a0\u00a0\u00a0: ‘:\/usr\/local\/bin:\/usr\/sbin’<\/p>\n

## Permite ou pro\u00edbe o uso de SCP pelo usu\u00e1rio. ( 1 permitir – 0 negar)<\/span>
\nscp\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0: 1<\/p>\n

## Permite ou pro\u00edbe uploads com SCP ( 1 permitir – 0 negar).
\n## Par\u00e2metro ‘scp’ deve possuir valor 1.<\/span>
\nscp_upload\u00a0\u00a0\u00a0\u00a0: 1<\/p>\n

## Permite ou pro\u00edbe downloads com SCP ( 1 permitir – 0 negar).
\n## Par\u00e2metro ‘scp’ deve possuir valor 1.<\/span>
\nscp_download\u00a0\u00a0\u00a0\u00a0: 0<\/p>\n

## Permite ou pro\u00edbe o uso de SFTP ( 1 permitir – 0 negar).<\/span>
\nsftp\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0: 1<\/p>\n

## Lista de comandos permitidos atrav\u00e9s de SSH.
\n## Ex: ssh usario@host ‘ls ~’<\/span>
\noverssh\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0: [‘ls’,’rsync’]<\/p>\n

## Considerar ou n\u00e3o comandos inv\u00e1lidos como a\u00e7\u00e3o proibida, se 1,
\n## comandos inv\u00e1lidos ir\u00e3o gerar avisos que poder\u00e3o desconectar
\n## o usu\u00e1rio, conforme par\u00e2metro ‘warning_counter’.<\/span>
\nstrict\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0: 0<\/p>\n

## For\u00e7ar pasta de destino para arquivos enviados por SCP.<\/span>
\nscpforce\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0: “\/tmp”<\/p>\n

## tamanho m\u00e1ximo do arquivo history.<\/span>
\nhistory_size\u00a0\u00a0\u00a0\u00a0: 100<\/p>\n

## Nome do arquivo contendo o hip\u00f3trico de comandos.<\/span>
\nhistory_file\u00a0\u00a0\u00a0\u00a0: “\/home\/%u\/.lshell_history”<\/div>\n

<\/p>\n

EXECU\u00c7\u00c3O DO LSHELL<\/h1>\n

Para carregar o lshell a partir de uma sess\u00e3o j\u00e1 existente, execute-o passando como par\u00e2metro o caminho do arquivo de configura\u00e7\u00e3o “lshell.conf”:<\/p>\n

# lshell –config \/etc\/lshell.conf<\/strong><\/p>\n

Para definir o lshell como shell padr\u00e3o para um determinado usu\u00e1rio, use o comando\u00a0usermod<\/em>\u00a0ou\u00a0chsh<\/em>:<\/p>\n

# usermod -s \/usr\/bin\/lshell usuario<\/strong>
\nOu:
\n# chsh -s \/usr\/bin\/lshell usuario<\/strong><\/p>\n

Caso queira habilitar os logs para um determinado usu\u00e1rio, insira-o no grupo “lshell”, o qual possui permiss\u00e3o de escrita na pasta\u00a0\/var\/log\/lshell<\/em>:<\/p>\n

# usermod -aG lshell usuario<\/strong><\/p>\n

Se tiver definido o lshell como shell padr\u00e3o para um determinado usu\u00e1rio, basta efetuar login com ele e o lshell dever\u00e1 ser iniciado.<\/p>\n

Para mais informa\u00e7\u00f5es de configura\u00e7\u00e3o, verifique o arquivo:\u00a0\/usr\/share\/doc\/lshell\/README.gz<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Esta dica ir\u00e1 mostrar um exemplo de configura\u00e7\u00e3o do\u00a0lshell, em um sistema\u00a0Debian Squeeze, para limitar a execu\u00e7\u00e3o de comandos previamente liberados para um determinado usu\u00e1rio ou grupo, bem como os diret\u00f3rios aos quais o usu\u00e1rio poder\u00e1 ter acesso, dentre outras op\u00e7\u00f5es relacionadas ao seu ambiente shell. Instala\u00e7\u00e3o do lshell: # aptitude install lshell Configura\u00e7\u00e3o do […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1082,730,1,830,79,42,51,495,271,501,548],"tags":[773,1027,60,351,1464,1463,1462,115],"class_list":["post-4841","post","type-post","status-publish","format-standard","hentry","category-centos-7-rhel-7","category-clusterweb","category-viazap","category-debian","category-firewall","category-leitura-recomendada","category-linux-linuxrs","category-profissional-de-ti","category-seguranca-2","category-shell-script","category-ubuntu-2","tag-a","tag-ambiente","tag-comandos","tag-e","tag-grupos","tag-limitando","tag-lshell","tag-usuarios"],"_links":{"self":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/4841","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4841"}],"version-history":[{"count":1,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/4841\/revisions"}],"predecessor-version":[{"id":4842,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/4841\/revisions\/4842"}],"wp:attachment":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4841"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4841"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4841"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}