Cách ngăn đăng nhập từ xa, nhưng kích hoạt 'tên người dùng su' cục bộ

0

Chúng tôi đang viết một ứng dụng (perl, mysql) sẽ chạy không đầu trên một * nix (có khả năng là CENTOS).

Làm cách nào tôi có thể thiết lập / bảo mật người dùng / mật khẩu cục bộ cho tài khoản 'ứng dụng' (nơi ứng dụng sẽ chạy) để,

  • không thể đăng nhập ssh từ xa
    ssh đang làm việc, vậy là đăng nhập cho tất cả các tài khoản, nhưng tôi cần bảo mật tài khoản này
  • một 'ứng dụng su' hoạt động cho người dùng có tài khoản hiện có

Một thiết lập như vậy được gọi là gì? Tôi chắc chắn không phải là người đầu tiên thử điều này, nó phải được ghi lại nhiều lần, nhưng tôi không tìm thấy thuật ngữ tìm kiếm có liên quan cho Google.

EDIT: Giải pháp

Tôi đã thêm các dòng: 

# prevent certain users from using ssh for login
# while retaining the option to 'su username'
DenyUsers app

đến / etc / ssh / sshd_config

sau đó khởi động lại sshd bằng 

service sshd restart

Bây giờ tôi có thể đăng nhập với tư cách là 'người dùng' qua ssh và 'ứng dụng su' để làm việc như ứng dụng.

linux  ssh  login-retrictions 
lexu
nguồn

Câu trả lời:

2

đặt tất cả người dùng vào một nhóm 'remote_users' và chỉ định trong của bạn sshd.conf , chỉ những người dùng trong nhóm đó mới được phép đăng nhập qua ssh: 

AllowGroups

         This keyword can be followed by a list of group name patterns,
         separated by spaces.  If specified, login is allowed only for
         users whose primary group or supplementary group list matches one
         of the patterns.  Only group names are valid; a numerical group
         ID is not recognized.  By default, login is allowed for all
         groups.  The allow/deny directives are processed in the following
         order: DenyUsers, AllowUsers, DenyGroups, and finally
         AllowGroups.
akira
nguồn
đặt shell đăng nhập thành / bin / false sẽ ngăn người dùng cục bộ có thể 'su app' hoặc 'su - app'
lexu
chỉ là một câu hỏi phụ: tại sao người dùng nên làm 'ứng dụng su' này?
akira
Tại sao người ta không thể đơn giản cấm nhóm / người dùng "ứng dụng" cấm đăng nhập qua sshd.conf?
foraidt
@akira: không phải tất cả người dùng, chỉ một số. Họ cần chỉnh sửa, có thể thay đổi tập tin cấu hình, chạy các công việc, v.v. phụ thuộc vào thông tin người dùng của 'ứng dụng'. Chúng tôi không muốn họ đăng nhập dưới dạng 'ứng dụng', vì vậy họ cảm thấy hệ thống có thể nhận dạng chúng = & gt; giữ cho tội lỗi ra khỏi rắc rối.
lexu
@mxp và @akira: Tôi sẽ xem xét khả năng của sshd.cond, thx
lexu
0

Nếu bạn đang sử dụng các khóa openssh để đăng nhập qua ssh, bạn chỉ cần không cho phép đăng nhập mật khẩu cho tất cả các tài khoản. su ing vẫn sẽ có thể.

innaM
nguồn
Điều này đã được xem xét, nhưng bị từ chối, vì người dùng không phải lúc nào cũng có khóa ssh với họ (tôi cho rằng việc đăng nhập vào máy chủ gia đình, sau đó ssh-ing vào mục tiêu ứng dụng, không xâm nhập / được coi là phức tạp)
lexu
ĐƯỢC. Về mặt kỹ thuật vẫn là một khả năng.
innaM
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.