每当有人通过SSH登录到Linux盒子时执行程序

如果您希望为用户提供方便或友好的东西,那么如果您的所有用户都使用相同的shell,那么/ etc / profile是合理的.如果希望命令仅在通过ssh登录时执行,请将命令放入/ etc / ssh / sshrc. (如果您不介意用户使用自己的?/ .ssh / rc文件覆盖命令.)

如果要强制用户执行一个程序,并且只执行一个程序,则DigitalRoss所描述的ForceCommand选项是一种很好的方法. (我个人会进一步限制用户使用mandatory access control系统,如AppArmor,SELinux,TOMOYO或SMACK,以确保程序不允许用户逃脱.我已经在AppArmor工作了十年,所以这就是我的工具首先选择,但其他人是优秀程序员编写的精美工具.)

如果你只是想要一个程序执行而不是以任何方式打扰用户,那么最好的方法是使用pam_exec(8)模块,它不能被绕过,无论shell运行如何,并且提供了以用户身份运行的简单能力或者作为执行授权的程序的用户帐户.该联机帮助页给出了以下示例：

Add the following line to /etc/pam.d/passwd to rebuild the
   NIS database after each local password change:

               passwd optional pam_exec.so seteuid make -C /var/yp

   This will execute the command

       make -C /var/yp

   with effective user ID.

这可以扩展为在身份验证,帐户,密码和会话操作上运行;可能会话最好在登录时执行.只需添加如下行：

session optional pam_exec.so log=/var/log/ssh_login_cmd /usr/local/bin/ssh_cmd

到/etc/pam.d/sshd控制文件.