Что лучше использовать?

Question

[Corp_Habra_Clients]

Здравствуйте!
Есть консольная программа для Ubuntu, к которой надо предоставить удалённый доступ по SSH. Но при этом данная программа не может работать как служба (демон) и ей нужен screen либо tmux. Что лучше использовать и как предоставить пользователям SSH доступ ТОЛЬКО к данной программе?!
Подскажите, пожалуйста!

Comments

[Gip]

какие права нужны программе?

[Corp_Habra_Clients]

Gip, Подниается на Jav'е (Java SE Virtual Machine) и вроде без рут работает.

[Gip]

сделайте группу и пользователя. потом в нее его туда добавьте. определите ему....блин - просто все сделайте как в учебниках с 84го года пишут

[Saboteur]

непонятно зачем нужен tmux или screen, нужно больше данных.

[marataziat]

Зачем вам разгранечение по пользователю? Несколько людей будет работать на 1 машине или просто для безопасности?

[Vadim Priluzkiy]

Вангую какой-то игровой сервер...

[Corp_Habra_Clients]

Vadim Priluzkiy,

Вангую какой-то игровой сервер...

Неужели тостерщики умеют правильно вангавать! Да, это сервер Майнкрафт, который поднимается на Ubuntu и работает в screen (или tmux). Как предоставить доступ ТОЛЬКО к этому серверу (не хотелось чтоб донатеры лазили в корень линукса и что-то там делали)?!

[Corp_Habra_Clients]

Saboteur,

непонятно зачем нужен tmux или screen, нужно больше данных.

Консольная программа, которая запускается, но при разрыве соединения она закрывается. По этому она работает в screen (или tmux), так как при них можно разорвать соединение.

[Saboteur]

Консольная программа, которая запускается, но при разрыве соединения она закрывается. По этому она работает в screen (или tmux), так как при них можно разорвать соединение.

Для этого обычно используют nohup и запускают в фоне.

А зачем донатерам лазить к вам на сервер????
Что собственно они там делают? Сервер вам запускают, или как?
Сделайте простенький веб-интерфейс для запуска, чтобы вообще никто не лазил.
Сделайте для сервера отдельного юзера типа craftuser и в его профайле сделайте перезапуск сервера и выход

[Corp_Habra_Clients]

Saboteur,

А зачем донатерам лазить к вам на сервер????

В том то и дело, что им нужно запретить выполнение любых Unix команд, неважно bash или zsh. Им надо по SSH получить доступ к консоли сервера, а по sFTP - к его файлам.

[Saboteur]

Им надо по SSH получить доступ к консоли сервера

зачем?

а по sFTP - к его файлам.

Погуглите по теме "как настроить chroot для sFTP", чтобы пользователь не мог выйти за пределы домашней папки.

[Corp_Habra_Clients]

Saboteur,

зачем?

Надо почитать документацию. Но если вы не занимаетесь серверами, то объясню. В консоли есть команда /pex user - она означает выдать права пользователю, /give - выдать предметы и редкие (премиум вещи), /set - команда для World Edit + World Guard, означает выбор территории.
И ещё много других консольных команд донатеров. Но, Unix (Linux) команды - надо запретить!

Погуглите по теме "как настроить chroot для sFTP", чтобы пользователь не мог выйти за пределы домашней папки.

Да это у меня уже настроенно и отлично работает! А с правами как?

[Saboteur]

Надо почитать документацию. Но если вы не занимаетесь серверами, то объясню. В консоли есть команда /pex user - она означает выдать права пользователю, /give - выдать предметы и редкие (премиум вещи), /set - команда для World Edit + World Guard, означает выбор территории.
И ещё много других консольных команд донатеров. Но, Unix (Linux) команды - надо запретить!

Я занимался серверами еще когда майнкрафта не существовало =)
Так нельзя. Либо команды выполняются, либо нет.
Но опять так, можно через chroot закрыть пользователя в папке с сервером. Вопрос, насколько он сможет при этом работать в принципе.
А по хорошему, вместо того, чтобы выдавать пользователю доступ к серверу, делают специальный интерфейс - через веб-сайт, через скрипт, который делает то, что разрешено. Погуглите веб-админки для майнкрафта, возможно этот путь будет удобнее и правильнее.

Погуглите по теме "как настроить chroot для sFTP", чтобы пользователь не мог выйти за пределы домашней папки.
Да это у меня уже настроенно и отлично работает! А с правами как?

Так если пользователь не может выйти за пределы указанной папки с файлами сервера, какие права вам еще нужны?

[Corp_Habra_Clients]

Saboteur, ну я для этого и предлагаю запустить сервер в screen с названием servermineop и дать пользователя доступ Только к скрину с таким названием и ЗАПРЕТИТЬ выходить за его пределы или менять скрин! Но как это сделать?!

А по хорошему, вместо того, чтобы выдавать пользователю доступ к серверу, делают специальный интерфейс - через веб-сайт, через скрипт, который делает то, что разрешено.

Это я планировал спросить в другом вопросе, но коль уж вы предложили, то как это реализовать?

Answer 1

[Andrey335]

Коллега явно не знает в *nix. Вариантов на самом деле много:
Вариант 1: прописать в качестве стартового шелла для пользователя эту консольную программу. Смотреть в man adduser. Если хочется, чтобы пользователь совсем не видел фс сервера - в программе сделать chroot

Вариант 2: логика та же, только в .bash_profile делаем вызов
chroot ./
./you_programm
logout
1 и 2 варианты требуют добавления системных пользователей
Вариант 3 - отдельный sshd с авторизацией через ldap - рецепта сразу не подскажу, но то, что это возможно - 100%
Варианты 4 и далее - вариации с докером - закатать в образ минималку с sshd и рецептами из 1-3

Comments

[Corp_Habra_Clients]

Andrey335,

Вариант 1: прописать в качестве стартового шелла для пользователя эту консольную программу.

И тогда при подключении программа будет запускаться, а при разрыве соединения зарываться, а нужно, чтоб она работала всегда! Тогда уж лучше в качестве оболочки прописать screen с этой программой. Но как?

Вариант 2: логика та же, только в .bash_profile делаем вызов
chroot ./
./you_programm
logout

Пойдёт, но только нужен не запуск самой программы, а Screen'а с ней.

Вариант 3 - отдельный sshd с авторизацией через ldap - рецепта сразу не подскажу, но то, что это возможно - 100%

У меня будет аутентификация не через ldap, а через PAM MySQL. И как в таком случае настроить?

Варианты 4 и далее - вариации с докером

Часто слышу, но что такое Докер?!

[Nikita Krasnikov]

Коллега явно не знает в *nix.

То что вы предлагаете - костыли, через который сторонний софт и работает. На данный момент ни в 1 ОС НЕТ "системного способа" дать юзеру использовать только 1 определенную программу.
Самый надежный способ это веб-морда для проги, откуда будут вызываться скрипты для выполнения каких-либо действий.

[Andrey335]

Nikita Krasnikov, коллега, это стандартные терминальные сценарии. Они работают с конца 70х прошлого века и будут работать дальше.
Corp_Habra_Clients, https://help.ubuntu.ru/wiki/screen
"Запуск в свёрнутом виде"
Саму программу можно запустить в rc.local, подключаться в .bash_profile. это если нужна только одна копия. Если же нужно по копии на пользователя, в .bash_profile запуск в свёрнутом виде и за тем подключение. Есть ньюансы, но за пару дней прекрасно разберешься.

Docker - нативная для linux система виртуализации. Она позволяет собрать образ системы с бинарями и запускать его. Если первые варианты вызывают затруднение, в докер лучше пока не лезть.

[Karpion]

Andrey335 Вроде, chroot может делать только root...

[Andrey335]

Karpion, najomi.org/_nix/sudo/2 и как альтернатива https://serverfault.com/a/648637

Answer 2

[Nikita Krasnikov]

Никак. Ещё нет такой ОС, которая может давать доступ только к какой-то определенной программе. Единственный вариант использовать какие-то стороннее ПО для разграничения прав доступа пользователей.

Comments

[Nikita Krasnikov]

Либо писать свой инструмент.

[Andrey335]

Либо матчасть учить )))

[Corp_Habra_Clients]

Nikita Krasnikov,

Единственный вариант использовать какие-то стороннее ПО

А какое именно и как им пользоваться?!

[Nikita Krasnikov]

Corp_Habra_Clients, Самый быстрый способ - это поднять на серваке nginx+php+mysql и зафигачить веб интерфейс, который будет чекать юзера, выполнять команду или запускать прогу на сервере и отдавать челу результат. Либо как ниже сказали заюзать докер (но это сложно незнающему).

[Corp_Habra_Clients]

Nikita Krasnikov,

nginx+php+mysql

А apache2+php+mysql нельзя поднять?
А если под php крутятся другие серверные программы (не Web), то это не начто не повлияет?

зафигачить веб интерфейс, который будет чекать юзера, выполнять команду или запускать прогу на сервере и отдавать челу результат

Как? Есть ли инструкция, гайды и файлы по этому?

[Nikita Krasnikov]

Можно. Нет. В интернете есть мануалы. Поищи.

Answer 3

[Karpion]

1) Пусть юзер запускает у себя "screen к_программе", а там его ждёт программа, запущенная под screen.

2) Поставить юзеру в качестве шелла скрипт, который делает "screen к_программе" и потом завершается.

Но надо помнить, что при таком варианте юзер может законнектиться с пробросом портов.

Comments

[Corp_Habra_Clients]

Karpion,

2) Поставить юзеру в качестве шелла скрипт, который делает "screen к_программе" и потом завершается.

И куда данный скрипт прописать?!

Но надо помнить, что при таком варианте юзер может законнектиться с пробросом портов

Если вы говорите про функции двойного назначения ssh, типа проброса портов, прокси, VPN, X11 и NoMachine, то они легко блокируются в sshd_config!

[Karpion]

Corp_Habra_Clients, Шелл прописывается в /etc/passwd ; ну или лучше - программами управления юзерами.