資安 – 竹月山莊

在menu.sh 裡增加功能

要在menu.sh 裡增加功能 1. scp功能, 但要讓user自己設定引數與參數 2. ssh 到特定主機, 但要user自己設定登入的帳號名稱

可以，但千萬不要直接讓使用者在 menu.sh 裡「自由輸入整串 scp/ssh 參數」然後丟進 shell 執行（會被用 ;、$( )、-oProxyCommand 等方式繞出去）。正確做法是：

只讓 user 填「你允許的欄位」（目的主機、帳號、來源檔名、目的路徑…）
其餘 SSH/SCP 參數由你固定寫死
白名單主機 + 路徑限制（只允許在特定資料夾內操作）
用 wrapper script（root 擁有）承接，menu 只呼叫 wrapper

下面給你可直接套用的 SOP。

0) 先做一個專用交換目錄（限制檔案範圍）

sudo mkdir -p /home/optim/transfer
sudo chown optim:optim /home/optim/transfer
sudo chmod 700 /home/optim/transfer

1) 建立 scp wrapper（允許 user 填「引數/參數」但被你控住）

1-1 建立 `/usr/local/bin/optim_scp`

sudo vi /usr/local/bin/optim_scp

貼上（把 ALLOWED_HOSTS 改成你允許的目的主機）：

#!/bin/bash
set -euo pipefail

ALLOWED_HOSTS=("10.0.0.10" "server1.internal" "server2.internal")
BASE_DIR="/home/optim/transfer"

is_allowed_host() {
  local h="$1"
  for x in "${ALLOWED_HOSTS[@]}"; do
    [[ "$h" == "$x" ]] && return 0
  done
  return 1
}

valid_user() {
  [[ "$1" =~ ^[a-z_][a-z0-9_-]{0,31}$ ]]
}

# 僅允許相對路徑（避免 /etc/passwd 之類）
valid_rel_path() {
  local p="$1"
  [[ "$p" != /* ]] && [[ "$p" != *".."* ]] && [[ "$p" =~ ^[A-Za-z0-9._/-]+$ ]]
}

echo "=== SCP (受控) ==="
echo "僅允許檔案位於: $BASE_DIR"
echo "允許主機: ${ALLOWED_HOSTS[*]}"
echo

read -r -p "方向 (1=上傳到遠端, 2=從遠端下載): " mode
read -r -p "遠端主機: " host
read -r -p "遠端登入帳號: " ruser

if ! is_allowed_host "$host"; then
  echo "ERR: 主機不在白名單"
  exit 1
fi
if ! valid_user "$ruser"; then
  echo "ERR: 帳號格式不合法"
  exit 1
fi

# 固定 SSH 選項：禁用危險玩法
SSH_OPTS=(
  -o "BatchMode=no"
  -o "PermitLocalCommand=no"
  -o "ClearAllForwardings=yes"
  -o "ProxyCommand=none"
  -o "RequestTTY=no"
)

case "$mode" in
  1)
    # 上傳：BASE_DIR/相對路徑 -> 遠端:目的路徑
    read -r -p "本機檔案(相對於 transfer/): " local_rel
    read -r -p "遠端目的路徑(例如 /tmp 或 /home/user/transfer ): " remote_path

    if ! valid_rel_path "$local_rel"; then
      echo "ERR: 本機路徑必須是相對路徑且不可含 .."
      exit 1
    fi
    if [[ "$remote_path" != /* ]] || [[ "$remote_path" == *".."* ]]; then
      echo "ERR: 遠端目的路徑必須是絕對路徑且不可含 .."
      exit 1
    fi

    src="$BASE_DIR/$local_rel"
    if [[ ! -f "$src" ]]; then
      echo "ERR: 找不到檔案: $src"
      exit 1
    fi

    /usr/bin/scp "${SSH_OPTS[@]}" -- "$src" "${ruser}@${host}:${remote_path%/}/"
    echo "OK: 上傳完成"
    ;;

  2)
    # 下載：遠端:檔案 -> BASE_DIR/目的檔名
    read -r -p "遠端檔案完整路徑(例如 /tmp/a.log): " remote_file
    read -r -p "本機目的檔名(放在 transfer/ 下): " local_name

    if [[ "$remote_file" != /* ]] || [[ "$remote_file" == *".."* ]]; then
      echo "ERR: 遠端檔案路徑必須是絕對路徑且不可含 .."
      exit 1
    fi
    if ! [[ "$local_name" =~ ^[A-Za-z0-9._-]+$ ]]; then
      echo "ERR: 本機目的檔名不合法"
      exit 1
    fi

    dst="$BASE_DIR/$local_name"
    /usr/bin/scp "${SSH_OPTS[@]}" -- "${ruser}@${host}:${remote_file}" "$dst"
    /bin/chown optim:optim "$dst"
    /bin/chmod 600 "$dst"
    echo "OK: 下載完成 -> $dst"
    ;;

  *)
    echo "ERR: 模式錯誤"
    exit 1
    ;;
esac

1-2 權限

sudo chown root:root /usr/local/bin/optim_scp
sudo chmod 755 /usr/local/bin/optim_scp

2) 建立 ssh wrapper（固定主機，但 user 可自填登入帳號）

2-1 建立 `/usr/local/bin/optim_ssh`

sudo vi /usr/local/bin/optim_ssh

貼上（把 TARGET_HOST 改成你指定的那台）：

#!/bin/bash
set -euo pipefail

TARGET_HOST="10.0.0.10"

valid_user() {
  [[ "$1" =~ ^[a-z_][a-z0-9_-]{0,31}$ ]]
}

echo "=== SSH (受控) ==="
echo "目的主機固定: $TARGET_HOST"
read -r -p "請輸入登入帳號: " ruser

if ! valid_user "$ruser"; then
  echo "ERR: 帳號格式不合法"
  exit 1
fi

exec /usr/bin/ssh \
  -o "ClearAllForwardings=yes" \
  -o "PermitLocalCommand=no" \
  -o "ProxyCommand=none" \
  -o "ServerAliveInterval=30" \
  -o "ServerAliveCountMax=3" \
  -l "$ruser" \
  "$TARGET_HOST"

2-2 權限

sudo chown root:root /usr/local/bin/optim_ssh
sudo chmod 755 /usr/local/bin/optim_ssh

3) 把功能加到 `menu.sh`

在你原本的 case 裡新增選項，例如：

echo "5) SCP 檔案傳輸 (受控)"
echo "6) SSH 到指定主機 (帳號自填)"

並加入：

5)
  /usr/local/bin/optim_scp
  ;;
6)
  /usr/local/bin/optim_ssh
  ;;

4) 重要提醒（避免你以為「外部 scp 也能用」）

你現在用的是 sshd_config 的 ForceCommand /opt/optim-menu/menu.sh，所以：

✅ 使用者登入後在選單內執行 scp/ssh（由 server 端發起）：可行
❌ 從使用者電腦用 scp optim@你的主機:... 直接拉檔：通常會失敗（因為 scp 需要走 ssh 的 scp 子系統/命令，而你強制進選單）

如果你也需要「外部 scp 到這台主機」那要改成用 Match 區分 Subsystem sftp 或針對 sftp/scp 做不同規則（但那是另一套設計）。

如果你告訴我：

你要允許的遠端主機清單（多台？一台？）
scp 只允許上傳？只允許下載？或都要？
遠端允許的目錄範圍（例如只准 /home/*/upload）

我可以把 wrapper 再加上「遠端路徑白名單」與「大小/副檔名限制」避免被拿去搬敏感檔。

信心指數：92%

ubuntu 24.04 限制使用者登入後僅能使用選單中的指令

以下是一套在 Ubuntu 24.04 中，限制使用者 optim 以「密碼登入 SSH 後，只能透過選單執行指定指令」的完整 SOP。
此作法適合維運帳號、代管帳號、委外人員，避免任意下指令。

一、設計原則（先說清楚邏輯）

SSH 可用密碼登入
登入後 不給 Shell
只執行一個「選單程式（Menu Script）」
選單內只呼叫 白名單指令
使用者無法：
- cd
- vi / nano
- bash
- ssh 到別台
- Ctrl+C 跳出

二、建立使用者 optim（若已存在可略過）

sudo useradd -m optim
sudo passwd optim

三、準備「受控選單腳本」

1️⃣ 建立目錄

sudo mkdir -p /opt/optim-menu
sudo chown root:root /opt/optim-menu
sudo chmod 755 /opt/optim-menu

2️⃣ 建立選單腳本

sudo vi /opt/optim-menu/menu.sh

內容如下（可依需求調整指令）：

#!/bin/bash

while true; do
    clear
    echo "================================="
    echo "   Optim Maintenance Menu"
    echo "================================="
    echo "1) 查看系統時間"
    echo "2) 查看磁碟使用量"
    echo "3) 查看服務狀態 (nginx)"
    echo "4) 查看系統負載"
    echo "0) 登出"
    echo "================================="
    read -p "請選擇操作: " choice

    case "$choice" in
        1)
            /usr/bin/date
            ;;
        2)
            /usr/bin/df -h
            ;;
        3)
            /usr/bin/systemctl status nginx --no-pager
            ;;
        4)
            /usr/bin/uptime
            ;;
        0)
            exit 0
            ;;
        *)
            echo "無效選項"
            ;;
    esac

    echo
    read -p "按 Enter 繼續..."
done

3️⃣ 設定權限（非常重要）

sudo chown root:root /opt/optim-menu/menu.sh
sudo chmod 755 /opt/optim-menu/menu.sh

⚠️ 使用絕對路徑（/usr/bin/df），避免 PATH 被濫用。

四、限制 optim 使用者的 Shell

方法一（最推薦）：使用 ForceCommand

編輯 SSH 設定

sudo vi /etc/ssh/sshd_config

在檔案最下方加入：

Match User optim
    ForceCommand /opt/optim-menu/menu.sh
    PasswordAuthentication yes
    AllowTcpForwarding no
    X11Forwarding no
    PermitTTY yes

重新啟動 SSH

sudo systemctl restart ssh

五、（加強）防止逃逸技巧

1️⃣ 禁用 .bashrc / .profile

sudo chown root:root /home/optim/.bashrc /home/optim/.profile
sudo chmod 644 /home/optim/.bashrc /home/optim/.profile

或直接清空：

sudo truncate -s 0 /home/optim/.bashrc
sudo truncate -s 0 /home/optim/.profile

2️⃣ 限制 sudo（若不需要）

sudo visudo

確認沒有：

optim ALL=(ALL) ALL

六、測試驗證清單（必做）

請實際測試以下行為：

測試項目	預期結果
SSH 密碼登入	✅ 可登入
登入後看到 bash	❌ 不可
出現選單	✅
嘗試輸入 `bash`	❌ 無效
Ctrl + C	❌ 不可中斷
選 0	✅ 正常登出
scp 傳檔	❌ 失敗

七、常見錯誤與排查

🔴 登入直接斷線

menu.sh 沒有執行權限
ForceCommand 路徑錯誤

👉 解法：

chmod +x /opt/optim-menu/menu.sh

🔴 指令顯示 command not found

沒用「絕對路徑」

👉 一律改成：

/usr/bin/xxx

八、進階強化（可選）

搭配 auditd 記錄所有執行行為
將 menu.sh 改為 Python / whiptail UI
搭配 PAM + 時段限制
SSH 僅允許指定 IP

九、總結

此 SOP 能達成：

✅ 密碼登入
✅ 僅能選單操作
✅ 指令白名單
✅ 無 Shell、無逃逸
✅ 符合實務維運安全

若你需要：

含審計版（auditd）
多層子選單
一鍵部署 Script
搭配 sudo 精準放權

可直接說明使用情境，我可幫你客製化。

信心指數：96%

建立多主機多帳號的操作白名單

以下是你要的 「主機 × 可登入帳號白名單對應版」optim_ssh，此版本具備：

✅ 多台 SSH 目標主機
✅ 每台主機有各自允許的登入帳號清單
❌ 使用者無法自行指定任意主機
❌ 使用者無法輸入未授權帳號
❌ 無 Port Forward / ProxyCommand / 跳板逃逸

一、最終版檔案：`/usr/local/bin/optim_ssh`

#!/bin/bash
set -euo pipefail

# ========= 主機 × 帳號 白名單 =========
# 格式：
# "主機|帳號1,帳號2,帳號3"

TARGETS=(
  "10.0.0.10|root,admin,ops"
  "10.0.0.11|ops"
  "server1.internal|deploy,ops"
  "server2.internal|admin"
)

# ====================================

valid_user() {
  [[ "$1" =~ ^[a-z_][a-z0-9_-]{0,31}$ ]]
}

print_menu() {
  echo "=== SSH 受控連線選單 ==="
  echo
  local i=1
  for entry in "${TARGETS[@]}"; do
    host="${entry%%|*}"
    users="${entry##*|}"
    echo "  $i) $host   (允許帳號: $users)"
    ((i++))
  done
  echo "  0) 返回"
  echo
}

while true; do
  clear
  print_menu
  read -r -p "請選擇主機: " pick

  if [[ "$pick" == "0" ]]; then
    exit 0
  fi

  if ! [[ "$pick" =~ ^[0-9]+$ ]]; then
    echo "ERR: 請輸入數字"
    read -r -p "按 Enter 繼續..." _
    continue
  fi

  idx=$((pick - 1))
  if (( idx < 0 || idx >= ${#TARGETS[@]} )); then
    echo "ERR: 選項超出範圍"
    read -r -p "按 Enter 繼續..." _
    continue
  fi

  entry="${TARGETS[$idx]}"
  host="${entry%%|*}"
  allowed_users="${entry##*|}"

  read -r -p "請輸入登入帳號: " ruser

  if ! valid_user "$ruser"; then
    echo "ERR: 帳號格式不合法"
    read -r -p "按 Enter 繼續..." _
    continue
  fi

  # 驗證帳號是否在該主機白名單
  if ! echo ",$allowed_users," | grep -q ",$ruser,"; then
    echo "ERR: 帳號 [$ruser] 不允許登入 $host"
    read -r -p "按 Enter 繼續..." _
    continue
  fi

  echo
  echo "即將連線：$ruser@$host"
  echo "（結束遠端連線請輸入 exit）"
  echo

  /usr/bin/ssh \
    -o "ClearAllForwardings=yes" \
    -o "PermitLocalCommand=no" \
    -o "ProxyCommand=none" \
    -o "ServerAliveInterval=30" \
    -o "ServerAliveCountMax=3" \
    -l "$ruser" \
    "$host"

  read -r -p "已離開 $host，按 Enter 回到主選單..." _
done

二、權限設定（不可省略）

sudo chown root:root /usr/local/bin/optim_ssh
sudo chmod 755 /usr/local/bin/optim_ssh

三、安全特性總覽（你現在已做到）

項目	狀態
主機白名單	✅
每台主機帳號白名單	✅
使用者自行輸入 host	❌
任意 ssh 參數	❌
Port Forward / Tunnel	❌
ProxyCommand / 跳板	❌
離開後回選單	✅
搭配 ForceCommand	✅

四、進階強化（如果你要更硬）

你現在已經是 「企業級 Jump Menu」 等級了，還可以再加：

auditd 記錄連線行為
限制某些主機只能在特定時段連
依 optim 本地帳號 → 映射遠端帳號（禁止手填）
禁止 root，只能透過 sudo 登入遠端
連線前二次確認（防誤連 production）

如果你要其中任何一項，我可以直接給你「可上線版本」。

信心指數：97%