Túnel SSH servidor, sin cáscara, pero aún capaz de cambiar pw?

Tengo un servidor SSH túnel que algunas personas en el trabajo está utilizando en lugar de una VPN desde su mucho mejor y más simple.

No quiero dar a los usuarios de conchas a todo, pero yo todavía quieren que sean capaces de modificar sus propias contraseñas.

Por el momento, se limitan a ejecutar / bin / cat por lo que su período de sesiones permanece abierto pero no pueden obtener ninguna shell o introducir cualquier comandos.

Estoy pensando en hacer chroot tal vez para ellos, en cambio, en cuyo caso puede tener una concha que tiene, básicamente, no ver o el acceso a cualquier cosa, pero yo todavía quieren que sean capaces de cambiar sus contraseñas, sin embargo si están en la cárcel, entonces no puede obtener acceso a los archivos / etc / archivos de cambiar su pw.

¿Ideas?

¿Hay alguna razón por la cual no se puede crear un shell que sólo permite el acceso a los directorio y, al mismo tiempo permite que el comando passwd?

Theyre va a tener un shell para ser capaz de hacer cualquier cosa. Me tipo de Don pregunto si es por el buen camino. Si te gusta un SGID cosa o algo para que no puedan tener hormigas leer escribir o ejecutar cosas fuera de su propio directorio. Y entonces sólo les dan privilegios para ejecutar / usr / bin / passwd y nada más.

¿Es lo correcto? Im destacando a cabo porque mi RHCT prueba comienza en aproximadamente una hora y media.

la eliminación de los permisos de otros ficheros, parece muy pobre que hay que hacer, usted tiene que ser capaz de leer algunos archivos sólo para utilizar un sistema * nix y no quiero que la gente en torno a poking o enumerar nada.

Realización de una shell es restringido por el diseño arriesgado creo. Id uso oficial, pero no voy a escribir uno yo mismo, ya que puede ser más difícil obtener derecho que aparece por primera vez.

BTW, buena suerte con tu prueba!

Yo apenas no. Hubo sólo una pequeña teeny detalle en la parte de solución de problemas que acabo de freaking no podía llegar a mi estancia después de reiniciar el sistema. Y la solución de problemas en parte todo lo que se ha terminado de pasar toda la prueba, por lo que ese tipo de muertos mí. Así que supongo que su vuelta a Denver en un par de semanas!

No sé cómo participa usted desea conseguir, pero usted puede crear un servicio web que autentica sólo sobre SSL, usando ese nombre de usuario / contraseña combinación. Establecer un PHP a algunos locales script para cambiar la contraseña de autenticación previa.

Ahí, los usuarios pueden cambiar sus propias contraseñas a través de esta interfaz web y que son capaces de alterar el código para incluir control de la contraseña anterior, el grado de dificultad, etc a su antojo sin que ello repercuta directamente los usuarios.

Esto también significa que ya no requieren de acceso.

Sólo un pensamiento.

podría hacer pero creo que basta con acceder Malos e integrarlo con EA y que hacer con ella, sería mucho más sencillo...