Это идея для безопасности. Наши сотрудники должны иметь доступ к некоторым командам на сервере Linux, но не ко всем. Они должны, например, есть возможность доступа к файлу журнала (less logfile) или запустить разные команды (shutdown.sh / run.sh).

Исходная информация:

Все сотрудники обращаются к серверу с одним и тем же именем пользователя: наш продукт работает с «обычными» разрешениями пользователя, «установка» не требуется. Просто распакуйте его в каталог пользователя и запустите. Мы управляем несколькими серверами, на которых наше приложение «установлено». На каждой машине есть пользовательjohndoe, Нашим сотрудникам иногда требуется доступ к приложению из командной строки для доступа и проверки файлов журнала или для перезапуска приложения вручную. Только некоторые люди должны иметь полный доступ к командной строке.

Мы используем ppk аутентификацию на сервере.

Было бы здорово, если employee1 может получить доступ только к лог-файлу, а employee2 также может выполнять X и т. Д.

Решение: В качестве решения я буду использоватьcommand вариант, как указано впринято ответ. Я сделаю свой собственный небольшой сценарий оболочки, который будет единственным файлом, который может быть выполнен длянемного сотрудники. Скрипт предложит несколько команд, которые могут быть выполнены, но никаких других. Я буду использовать следующие параметры вauthorized_keys как указаноВот:

command="/bin/myscript.sh",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty
ssh-dss AAAAB3....o9M9qz4xqGCqGXoJw= user@host

Это достаточно безопасности для нас. Спасибо, сообщество!