Sử dụng rssh để hạn chế truy cập người dùng
Quản trị mạng – Chắc chắn sẽ có đôi lúc bạn muốn cung cấp các dịch vụ cần
đến việc truy cập shell nhưng quả thực lại không cho phép người dùng có
được sự truy cập này. Lúc này shell hạn chế, rssh, có thể được sử dụng để giải
quyết cho bạn tình huống này.
Ban đầu dường như nghe có vẻ khá mâu thuẫn, tuy nhiên sẽ có nhiều lần một quản
trị viên hệ thống nào đó có nhu cầu hợp lệ cần cung cấp các dịch vụ phụ thuộc vào
truy cập shell cho người dùng mà quả thực thông thường không cho phép họ sự
truy cập này trên hệ thống. Việc cung cấp truy cập shell cho người dùng, đặc biệt
nếu họ là những người dùng không tin cậy, có thể là một vấn đề bảo mật nghiêm
trọng cho các quản trị viên hệ thống.
Một ví dụ là sử dụng OpenSSH nhằm cung cấp các tài khoản SFTP để người dùng
có thể truyền tải các file đến và đi khỏi máy chủ bảo mật. OpenSSH yêu cầu truy
cập shell để cung cấp sự truy cập SFTP. Mặc dù vậy chúng ta vẫn có đó một shell
hạn chế có tên gọi rssh có thể cung cấp truy cập shell cho các máy chủ chẳng hạn
như OpenSSH nhưng không cung cấp một môi trường shell mang tính tương tác để
có thể bị lạm dụng bởi người dùng.
Công cụ rssh hiện có sẵn trong kho lưu trữ phần mềm của các hệ thống mã nguồn
mở giống như Unix, chẳng hạn như Debian GNU/Linux and FreeBSD. Lệnh apt-
cache search của Debian có thứ để nói về nó:
rssh - Restricted shell allowing only scp, sftp, cvs, rsync and/or rdist
Bạn có thể tìm thêm nhiều thông tin khác về chương trình tại trang chủ của nó.
Sau khi cài đặt nó bằng các công cụ quản lý phần mềm nguyên bản của hệ thống
Linux hoặc BSD Unix, việc triệu gọi và làm việc với công cụ là một việc hết sức
đơn giản. Chỉ cần tạo một tài khoản mà bạn muốn sử dụng rssh bằng các tiện ích
tạo tài khoản chuẩn của hệ thống, sau đó thiết lập shell mặc định của nó là rssh.
Khi thực hiện xong điều này, bạn có thể test cấu hình của tài khoản bằng cách đăng
nhập nó thông qua ssh. Kết nối sẽ được đóng lại trước khi đăng nhập hoàn tất, với
một thông báo giải thích rằng tài khoản đã bị hạn chế với rssh.
Tuy nhiên với những ai muốn cho phép tài khoản mặc định có thể thực hiện thứ gì
đó, nó sẽ ngăn chặn những cách thức khác trong việc sử dụng tài khoản chẳng hạn
như SFTP một cách mặc định. Để cho phép SFTP, rssh cần được cấu hình rứt
khoát để thực hiện như vậy. Tìm file rssh.conf, location của nó sẽ phụ thuộc vào hệ
thống cụ thể, nơi bạn cài đặt nó, tuy nhiên thông thường thì vẫn là đường dẫn
/usr/local/etc/rssh.conf, sau đó chỉnh sửa nó để có chứa dòng dưới đây, mục đích
của nó là cho phép các kết nối SFTP:
allowsftp
Các tùy chọn cấu hình tương tự cũng có trong các công cụ khác mà rssh hỗ trợ, với
chúng bạn cũng có thể cung cấp cho người dùng khả năng truy cập vào các tài
nguyên cụ thể trên hệ thống mà không cần phải cung cấp cho họ khả năng đăng
nhập trực tiếp bằng một shell tương tác.
![Sổ tay Kỹ năng nhận diện & phòng chống lừa đảo trực tuyến [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20251017/kimphuong1001/135x160/8271760665726.jpg)
![Cẩm nang An toàn trực tuyến [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20251017/kimphuong1001/135x160/8031760666413.jpg)
