Làm thế nào để bạn cho phép người dùng đăng nhập bằng " su - người dùng " nhưng ngăn người dùng đăng nhập bằng SSH?
Tôi đã cố gắng đặt shell thành /bin/falsenhưng khi tôi cố gắng suthì nó không hoạt động.
Có một số cách chỉ cho phép đăng nhập bằng cách su?
SSH có phải là AllowUsercon đường để đi? (tôi sẽ làm điều này như thế nào nếu đó là cách để đi)
Câu trả lời:
Bạn có thể sử dụng AllowUsers / Allowgroup nếu bạn chỉ có một vài người dùng / nhóm được phép đăng nhập thông qua ssh hoặc DenyUsers / Denygroup nếu bạn chỉ có một vài người dùng / nhóm không được phép đăng nhập. Lưu ý rằng điều này chỉ hạn chế đăng nhập qua ssh, các cách đăng nhập khác (console, ftp, ...) vẫn có thể. Bạn cần thêm các tùy chọn này vào tệp / etc / ssh / sshd_config cho hầu hết các cài đặt ssh.
Nếu bạn đã đặt shell đăng nhập thành / bin / false, bạn có thể sử dụng su -s /bin/bash user(thay thế / bin / bash bằng shell bạn chọn)
su - -s /bin/bash user
Nếu tài khoản không có mật khẩu ( tên người dùng passwd -d ), họ không thể đăng nhập tương tác (bảng điều khiển, SSH, v.v.). Nếu họ có vỏ hợp lệ, su vẫn sẽ hoạt động. Lưu ý "tương tác", mặc dù; nếu ai đó quyết định thiết lập một khóa SSH cho tài khoản, nó sẽ hoạt động!
như những người khác đã nói;
DenyUser usernamehoặc DenyGroup groupnametrong sshd_configsẽ ngăn chặn đăng nhập khóa / mật khẩu thông qua ssh.
mặc dù tôi thường làm một cái gì đó như AllowGroup sshhoặc một cái gì đó dọc theo những dòng đó, và rõ ràng thêm những người cần ssh truy cập vào nhóm đó.
sau đó, bạn có thể làm như những gì người khác đã nói: passwd -d usernamexóa mật khẩu người dùng để họ không thể đăng nhập tại bảng điều khiển hoặc một số cách khác. hoặc tốt hơn passwd -l usernamelà 'khóa' tài khoản. có thể ssh sẽ từ chối quyền truy cập vào tài khoản bị khóa, ngay cả với các khóa, nhưng tôi không tích cực.
Như tôi đã đề cập trong một bình luận, tôi nghĩ rằng bạn vẫn có thể đăng nhập vào một tài khoản có vỏ không hợp lệ. Vì vậy, nếu bạn đặt shell của người dùng thành / dev / null hoặc bất kỳ shell bin nào, bạn vẫn có thể gửi đơn đến người dùng đó ... nhưng mọi nỗ lực đăng nhập bằng mọi cách sẽ khiến bạn thoát ra ...
chỉnh sửa / etc / bóng bằng cách thêm! đến đầu băm mật khẩu.
username:!<hash>:#####:#:#####:#:::
Khi bảo mật cài đặt mới, đây là điều đầu tiên tôi làm sau khi cài đặt sudo, vì vậy không ai có thể sử dụng người dùng root để đăng nhập hoặc ssh vào hệ thống, người dùng sudo vẫn có thể thực thi với tư cách là người dùng root.
Không chỉ định mật khẩu cho người dùng không được phép đăng nhập hoặc xóa nó.
# passwd -d myuser
Giả sử bạn chỉ muốn kiện người dùng từ tài khoản root và vô hiệu hóa tất cả các quyền truy cập khác:
Sử dụng cái này (chạy như root):
usermod -e 1 -L user
Điều này vô hiệu hóa đăng nhập mật khẩu (như nhiều câu trả lời khác đã khuyên), nhưng nó cũng hết hạn tài khoản . Bạn không thể đăng nhập vào tài khoản đã hết hạn, ví dụ như bằng các khóa SSH. Bạn vẫn có thể su user, mặc dù nó sẽ hiển thị thông báo rằng tài khoản đã hết hạn.
Biết cơ chế nào là tốt nhất phụ thuộc vào yêu cầu. Nếu bạn biết các yêu cầu, bạn có thể chọn cơ chế thích hợp. Tất cả các câu trả lời trên là hợp lệ cho một số yêu cầu.
Bạn chỉ muốn hạn chế quyền truy cập SSH? Bạn có cần truy cập cho các phương thức mail hoặc ssh? Là chỉ truy cập từ root?
su - usersẽ yêu cầu mật khẩu cho người dùng nếu nó được chạy là người dùng khác ngoài root. Tuy nhiên, sudo -u user -ikhông yêu cầu mật khẩu cho người dùng.