让需要登录生产服务器的用户必须先登录这台服务器,再从这台服务器上登录到生产服务器。
可以限制只使用ssh和exit命令,或者自己写个脚本让登录的人自己选择。
这里可以在堡垒机(跳转机)服务器上安装lshell来达到各种限制的功能。
1、安装lshell工具
gif主页:https://github.com/ghantoos/lshell
如果堡垒机没有联网,可以从别的地方下载安装文件,再复制过来。
git clone https://github.com/ghantoos/lshell.git
cd lshell
python setup.py install –no-compile –install-scripts=/usr/bin/
如果没报错,即安装成功。
2、配置conf
配置好这个文件,就能达到很好的效果。
vim /etc/lshell.conf
[default]
allowed : ['ssh','exit']
3、改变用户默认shell,使用lshell作为默认shell:
# cp /etc/lshell.conf /usr/local/etc/
# chsh -s /usr/bin/lshell user_name 这个命令只能修改某个用户的,可以写个脚本来批量修改
4、开启日志
为了记录用户日志,需要创建相关目录
# addgroup –system lshell
# mkdir /var/log/lshell
# chown :lshell /var/log/lshell
# chmod 770 /var/log/lshell
然后增加用户到lshell group:
# usermod -aG lshell user_name
# 更多文章见我个人站点:haibing.org #
原文:http://blog.51cto.com/13497208/2044615