Я пытаюсь заблокировать пользователей доступом к командной строке на сервер RHEL7, чтобы легко экспортировать большие куски данных. Я хотел бы заблокировать исходящую электронную почту, ftp, sftp и т. Д.препятствовать пользователям экспортировать данные из командной строки
Я понимаю, что существуют ограничения на то, что может быть достигнуто. Если пользователь имеет неограниченный доступ к данным, они могут, например, выгружать его на экран и вырезать и вставлять. Но я бы хотел сделать это хотя бы немного сложнее.
Я видел предложение добавить учетные записи в/etc/mail/access и ОТКЛЮЧИТЬ каждую учетную запись, которую нельзя отправлять. Это возможно, учитывая количество пользователей. Но демон sendmail, похоже, не работает по умолчанию, и нет каталога/etc/mail. Должен ли я просто создать его и создать файл конфигурации/etc/mail/access и создать базу данных? Или существует другое местоположение по умолчанию для этого файла на RHEL7?
И это предотвратит что-то вроде следующего от работы?
mail [email protected] < bigpileofdata.txt
Может ли исходящий sftp быть отключенным при разрешении стандартных соединений командной строки ssh? Я полагаю, что входящие также должны быть заблокированы, учитывая, что они смогут создать локальный файл в своей учетной записи, а затем загрузить его через sftp. Исходящий ssh может быть полностью заблокирован, но входящий ssh должен быть разрешен или пользователь не сможет вообще использовать сервер.
Я открыт для других предложений по зажиманию.
Спасибо за ваши мысли.
Если ваши данные имеют решающее значение, а безопасность - это проблема, вы должны нанимать экспертов по безопасности. На самом деле даже гиганты, такие как yahoo, все еще взломаны. То, что вы думаете, просто не стоит делать. – alvits
Данные не являются решающими, иначе я бы не обратил вопрос таким образом. Но есть разница между оставлением блюда после ужина монетными дворами на выезде и хранением контейнера для доставки, полного 10 000 монетных чеков, широко открытых рядом с детской площадкой. – bumfoozled
Вам необходимо заблокировать все исходящие соединения. Без блокировки исходящих подключений можно было просто использовать внешний smtp-сервер для отправки данных по электронной почте. Вам нужно отключить ssh, как входящие, так и исходящие. Ничто не может остановить пользователя от запуска 'ssh user @ server dd if = data | dd =/my/local/file'. – alvits