restricted-ssh-commands
Restringir a los usuarios de SSH a un conjunto predefinido de comandos. restricted-ssh-commands está diseñado para que SSH lo llame y restrinja a un usuario a ejecutar únicamente comandos específicos. Se puede configurar una lista de expresiones regulares permitidas en `/etc/restricted-ssh-commands/`. El comando solicitado debe coincidir con al menos una expresión regular, de lo contrario, será rechazado.
Ejemplo de archivo de comandos permitidos para USER
# nano /etc/restricted-ssh-commands/USER
^apt update$
^ls -la /home/usuario$
^git status$
Se permite recargar apt, listar el directorio /home/usuario y ver el estado de git, nada más y que cuando alguien use la clave, ejecute el filtro:
$ nano ~/.ssh/authorized_keys
command="RSC_VERBOSE=1 /usr/lib/restricted-ssh-commands"
command="/usr/lib/restricted-ssh-commands",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa
El archivo /usr/lib/restricted-ssh-commands [el filtro] es el programa ejecutable que hace la validación y solo se llama desde authorized_keys.