Створення облікового запису UNIX, який виконує лише одну команду

Чи є спосіб створити обліковий запис користувача в Solaris, який дозволяє користувачам виконувати лише одну команду? Ні оболонки для входу, ні іншого. Я міг би зробити це з /usr/bin/falseв /etc/passwdі просто отримати від користувача ssh <hostname> <command>, але є краще спосіб зробити це?

Ви можете використовувати примусову команду, якщо користувачі можуть підключитися лише через ssh. По суті, кожен раз, коли користувач з'єднується через ssh з певним ключем та певним ім'ям користувача, ви змушуєте його виконувати команду (або скрипт або), яку ви визначили у .ssh / санкціонованих_кеях. Команди, видані користувачами, будуть ігноровані.

Наприклад:

# in .ssh/authorized_keys
command="cd /foo/bar && /path/to/scripts/my_script.sh arg1 arg2",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa public_key

Ви можете встановити оболонку цього користувача на сценарій, який просто виконує команду, яку ви хочете дозволити: Кожен раз, коли користувач увійде в систему, команда виконується, тоді користувач виходить з системи. А оскільки немає "повної оболонки", вам не доведеться мати справу з користувачем, який пробує фанкі;)

Мені цікаво, чи можна було б це зробити за допомогою RBAC та надання користувачеві привілейованої оболонки (pfsh, pfcsh або pfksh) та створення профілю для команд, яким користувачі (и) дозволять запускати.