uprawnienia użytkownika

[Black996]

Witam, chciałbym zrobić tak że użytkownik może tylko i wyłącznie użyć jednej konkretnej komendy i żadnej innej. Jest to możliwe? jeśli tak to jak

[Paweł Kraszewski]

* Mowa o trybie tekstowym czy graficznym?
* Jakiego typu to jest komenda? Najlepiej konkretny przykład.
* Czy user loguje się lokalnie czy zdalnie?

[Black996]

tekstowy
komenda ./
zdalnie ssh

[roobal]

Chodzi Ci o użytkownika, który może wykonać tylko i wyłącznie jedno polecenie ogólnie czy tylko jedno polecenie z uprawnieniami roota?

[Paweł Kraszewski]

Napisz dokładnie co potrzebujesz, bo jak długo nie wiemy co to za komenda i jak wygląda "normalnie" jej wywołanie to trudno coś powiedzieć.
Może być potrzebny chroot, może wystarczy ograniczenie w authorized-hosts, może wystarczy wpis w sshd.config. Nie wiemy, bo mamy za mało informacji.

[Black996]

Chodzi Ci o użytkownika, który może wykonać tylko i wyłącznie jedno polecenie ogólnie czy tylko jedno polecenie z uprawnieniami roota?

Użytkownik który może wykonać tylko i wyłącznie jedną komendę. Komenda ta nie musi posiadać uprawnień roota wywołuje ona skrypt sh.

Edit:

Ewentualnie zrobić tak że ten użytkownik ma dostęp tylko do swojego katalogu /home/user i tam może robić wszystko co mu się podoba ale nie może z niego wyjść i użyć komendy np. /mc

[płona]

Opiszę, jak to zrobiłem u siebie:
1. shell-em użytkownika jest rbash, a nie bash:
usermod -s /bin/rbash nazwa_użytkownika

w rbash-u nie można wykonywać komend zaczynających się do /

2. trzeba zadbać o PATH użytkownika - zrobiłem to w /etc/profile, nie w $HOME./bash_profile, bo ten plik jest edytowalny dla użytkownika:
if [ LOGNAME = "nazwa_uzytkownika" ]; then
PATH=/home/nazwa_u/bin
export PATH
fi

3. zabroniłem pisania do katalogu domowego (aby nie mógł edytować plików .*, np. .bash_profile. Zamiast tego utworzyłem katalog w jego domowym, gdzie ma już pełne uprawnienia.

4. do katalogu /home/uzytkownik/bin podlinkowałem te komendy, których może używać - w Twoim wypadku wystarczy tam umieścić skrypt, który chcesz wykonać. Trzeba to sprawdzić z poziomu użytkownika, bo skrypt może wywoływać jakieś rzeczy, które są np. w /usr/bin. w takim wypadku to, co potrzebne podlinkuj do bin użytkownika.

5. problem. Użytkownik może wykonać "obejście" wpisując np:
ssh serwer -l uzytkownik  xterm
wtedy ma dostęp do wszystkiego, bo /etc/profile się nie wykonuje
rozwiązanie:
/etc/sshd_config, wpis
ForceCommand = foo_script
wtedy w zmiennej SSH_ORIGINAL_COMMAND masz argumenty przekazane do ssh na maszynie lokalnej z której jest połączenie. Możesz je przeanalizować i wpuścić, albo odrzucić. dokładniejszy opis:
http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-current/man5/sshd_config.5?query=sshd_config

[ultr]

Może w ogóle nie chcesz, żeby ten użytkownik mógł wykonywać polecenia, a jedynie był ograniczony po zalogowaniu do prostego, stworzonego przez ciebie, menu?

Możesz nie dawać mu dostępu do powłoki, tylko ustawić swój skrypt jako jego shell (usermod), który zostanie odpalony po zalogowaniu.
W skrypcie możesz wpisać sobie menu:

Kod: [Zaznacz]

1) zrob coś
2) zrób coś innego
0) koniec
Wybór: _

W ten sposób zezwolisz tylko na bardzo konkretne działania po zalogowaniu.

Innego sensu ograniczania shella do jednego polecenia nie widzę.
Chyba, że opiszesz o co ci chodzi i PO CO to potrzebujesz.