制限付きシェルについて

UNIXのAIXのVer5.1を使用しています。
rmなどのコマンドを制限させたユーザを作りたいのですが、どのようなシェルを使えばいいか分かりません。
rbashのような機能を持ったシェルなどはないのでしょうか？
もしくは、ユーザに特定のコマンドを規制することはできないのでしょうか？

No.4 回答者： heilel 回答日時： 2010/01/31 00:20

質問日付的にあまり意味をなさないと思いますが、回答させて頂きます。

AIXの場合は、Rsh(restricted shell)を使います。
※kシェル環境の場合、rksh

Rshを使用すると仮定して、手順概要を下記します。
※1:krshの場合は、置き換えて考えてください。
※2:ユーザーの詳細設定やパスワード設定などは省いていますのでご了承ください。

1. login.cfgの確認
　# cat /etc/security/login.cfg |grep Rsh
　shellsに「/usr/bin/Rsh」が含まれていることを確認する。
　※無い場合は、追記する。

2.Rsh用ユーザーの作成。※以後、Rshuserとする。
　初期プログラム を /usr/bin/Rsh にする。

3.Rshuserのhomeディレクトリの整備。※/home/Rshuserをホームと仮定する。
　bin ディレクトリを作成する。
　権限などの属性については/usr/binと同じにすること。
　*1:chmod 755 bin
　*2:chown bin:bin bin

4./home/Rshuser/binに使用させたいコマンドのシンボリックリンクを張る。
　例)# ln -s /usr/bin/ls /home/Rshuser/bin
　※コピーでも可能だが、容量を食うのでお勧めしません。

5.Rshuserの「.profile」の PATH を以下参考例のように編集する。
例)PATH = /etc:/usr/ucb:$HOME/bin:/usr/bin/X11:/sbin
※$HOME/binは必須です。他は、ケースバイケース。

6.Rshuserにスイッチし、確認。
・先ほどシンボリックリンクを張ったコマンドが使用できること。
・それ以外のコマンドは実行できないこと。
・組み込みコマンドも実行できないこと。

以上です。

また、質問のrmを使用制限させたいとのことですが、やはり認めてあげたほうが良いかと思います。
このRshを使用すれば、自分のいるパスのファイル・ディレクトリしか消せませんので。

最後に。
制限シェル以外でも、「chroot/jail」でも要件を満たせるかもしれません。

No.3 回答者： jpss7280 回答日時： 2009/12/24 14:39

rm の制限はあまりお勧めしません。

smit やその他 シェルスクリプトで構成されたコマンドの中には rm で一時ファイルを削除するものが多数あります。
通常自分で作ったファイルを削除しますので rm の失敗は想定して折らず、
エラーもハンドリングしていないことが考えられます。

ファイルへのアクセス権限(mod や ACL)でカバーするほうが良いかと思います。
サポートに問い合わせして対応を相談したほうが良いかと。
AIX5.1はサポート終了していますが、深く調査が必要なもので無い限りは
ある程度話を聞いてくれるのでは無いかと思います。

No.2 回答者： notnot 回答日時： 2009/07/09 22:06

rが大文字のRshというのがあるみたいですよ。

http://publib16.boulder.ibm.com/doc_link/Ja_JP/a …

No.1 回答者： pakuti 回答日時： 2009/07/09 12:09

全てを説明するのは面倒なので、IBMのドキュメントを

openssh with AIX chroot

http://www.ibm.com/developerworks/aix/library/au …

binディレクトリで必要なものだけをコピーする

この回答へのお礼

早い回答ありがとうございます。
とりあえず、調べてみようと思うのですが…難しそうですね…
何から手をつけていいかよく分からないですがやってみようと思います。

お礼日時：2009/07/09 23:53