Het primaire doel van lshell is om shell accounts aan te maken waarvan je de omgeving zo inperkt dat de gebruiker slechts een beperkt aantal opdrachten kan uitvoeren. Je configureert de mogelijkheden van de gebruikers in /etc/lshell.conf en stelt lshell daarna als shell van deze gebruikers in.

In het configuratiebestand kun je mogelijkheden of beperkingen instellen voor iedere lshell-gebruiker, voor een specifieke groep of voor een specifieke gebruiker. Je kunt zo de toegang tot bepaalde directory's beperken, de lijst met toegelaten opdrachten instellen en de lijst met opdrachten instellen die over ssh mogen uitgevoerd worden, zoals rsync, rdiff-backup en scp.

Verder kun je een timer instellen die ervoor zorgt dat de login-sessie van een gebruiker na een bepaald aantal seconden wordt afgesloten. Je kunt ook instellen hoeveel waarschuwingen de gebruiker krijgt voor de Shell afsluit, nadat hij of zij heeft geprobeerd om een niet toegelaten opdracht uit te voeren, en of het intypen van een onbekende opdracht ook als verboden beschouwd wordt. Het programma logt alle waarschuwingen voor gebruikers ook naar logbestanden in de directory /var/log/lshell.

Een voorbeeldconfiguratie vind je op de website van lshell. Door een handig gebruik van de default-sectie, gebruikersgroepen en gebruikers kun je flexibele permissies instellen zoals "Gebruiker blu mag alle default opdrachten uitvoeren plus 'ping' min 'ls'." Let wel op dat je je configuratie goed test voor je ze in productie neemt.

Bron: Techworld