可以说,您需要实现的是一种可重现的,可审计的方法,用于限制用户执行除严格允许的操作之外的操作的能力.

如果您在LDAP中注册用户,您肯定已经部署了在连接到此LDAP的任何计算机上执行LDAP身份验证的机制,无论是通过sssd还是使用任何其他PAM模块,它与解决方案的其余部分无关,并假设已经到位(在我的情况下,我使用freeIPA和sssd).

为了实现这种情况,我目前做的是以下内容(请注意,这种限制要求满足几个条件,否则可以轻松规避限制)：

>用户不属于wheel组,唯一授权使用su(通过PAM强制执行).通常,存在非LDAP用户(sysadm),以允许受信任的管理员在灾难恢复或LDAP不可用时执行操作.
>为用户提供一个正确安全的rbash,其中只有一个指向私有〜/ bin的PATH,这个〜/ bin /目录包含指向所有允许命令的链接,例如：

$ll ~/bin
total 0
lrwxrwxrwx. 1 root dawud 14 Sep 17 08:58 clear -> /usr/bin/clear*
lrwxrwxrwx. 1 root dawud  7 Sep 17 08:58 df -> /bin/df*
lrwxrwxrwx. 1 root dawud 10 Sep 17 08:58 egrep -> /bin/egreP*
lrwxrwxrwx. 1 root dawud  8 Sep 17 08:58 env -> /bin/env*
lrwxrwxrwx. 1 root dawud 10 Sep 17 08:58 fgrep -> /bin/fgreP*
lrwxrwxrwx. 1 root dawud  9 Sep 17 08:58 grep -> /bin/greP*
lrwxrwxrwx. 1 root dawud 10 Sep 17 08:58 rview -> /bin/rview*
lrwxrwxrwx. 1 root dawud 13 Sep 17 08:58 rvim -> /usr/bin/rvim*
lrwxrwxrwx. 1 root dawud 13 Sep 17 08:58 sudo -> /usr/bin/sudo*
lrwxrwxrwx. 1 root dawud 17 Sep 17 08:58 sudoedit -> /usr/bin/sudoedit*
lrwxrwxrwx. 1 root dawud 13 Sep 17 08:58 tail -> /usr/bin/tail*
lrwxrwxrwx. 1 root dawud 11 Sep 17 08:58 wc -> /usr/bin/wc*

>为用户提供受限制的只读环境(考虑LESSSECURE,TMOUT,HISTFILE等变量).这是为了避免shell从less或vim等命令中逃脱.
>如果MAC限制到位(您使用的特定GNU / Linux发行版已启用SELinux),则用户将映射到SELinux用户staff_u,并有权通过sudo按需要执行其他用户的命令.需要仔细检查允许的特定漏洞以防止用户绕过这些限制,并且还可以在现有LDAP基础结构中部署(这是freeIPA功能之一).
>用户’/ home,/ tmp和/ var / tmp通过/etc/security/namespace.conf进行多实例化：

/tmp       /tmp/.inst/tmp.inst-$USER-     tmpdir:create   root
/var/tmp   /tmp/.inst/var-tmp.inst-$USER- tmpdir:create   root
$HOME      $HOME/$USER.inst/              tmpdir:create   root

目录的多实例化并不是一项新功能,现在已经有很长时间了.作为参考,请参见this article from 2006.事实上,许多模块默认使用pam_namespace,但/etc/security/namespace.conf中的默认配置不启用多实例化.
此外,/ etc / security / namedspace.init应使所有骨架文件对用户只读,并由root拥有.

通过这种方式,您可以选择是否代表其他用户(通过sudo)代表自己(通过private / / bin目录中的链接,通过/ etc / skel提供,如上所述)代表自己执行任何命令(或通过/ etc / skel提供)一个都没有.