Vô hiệu hóa đăng nhập của người dùng mà không vô hiệu hóa tài khoản

Giả sử tôi tạo một người dùng có tên "không có thật" bằng cách sử dụng adduserlệnh. Làm cách nào tôi có thể đảm bảo người dùng này sẽ KHÔNG phải là một tùy chọn đăng nhập khả thi, mà không vô hiệu hóa tài khoản. Nói tóm lại, tôi muốn tài khoản có thể truy cập được thông qua su - bogus, nhưng tôi không muốn nó có thể truy cập được thông qua lời nhắc đăng nhập thông thường.

Tìm kiếm xung quanh, có vẻ như tôi cần phải tắt mật khẩu của người dùng đó, nhưng passwd -d boguskhông giúp được gì. Trong thực tế, nó làm cho mọi thứ tồi tệ hơn, bởi vì bây giờ tôi có thể đăng nhập vào không có thật mà không cần nhập mật khẩu.

Có cách nào để vô hiệu hóa thông tin đăng nhập thông thường cho một tài khoản nhất định không?

Lưu ý: Để rõ ràng, tôi biết cách xóa người dùng khỏi các tùy chọn menu của màn hình đăng nhập đồ họa như gdm, nhưng các phương pháp này chỉ đơn giản là ẩn tài khoản mà không thực sự vô hiệu hóa đăng nhập. Tôi đang tìm cách vô hiệu hóa hoàn toàn đăng nhập thông thường, bao gồm chế độ văn bản.

passwd -l user

là những gì bạn muốn.

Điều đó sẽ khóa tài khoản người dùng. Nhưng bạn vẫn có thể

su - user

nhưng bạn sẽ phải su - userroot.

Ngoài ra, bạn có thể thực hiện điều tương tự bằng cách nhập trước !mật khẩu của người dùng /etc/shadow(đây là tất cả những gì diễn passwd -lra sau hậu trường). Và passwd -usẽ hoàn tác điều này.

Trang người đàn ông passwd(1)nói về passwd -l:

Lưu ý rằng điều này không vô hiệu hóa tài khoản. Người dùng vẫn có thể đăng nhập bằng mã thông báo xác thực khác (ví dụ: khóa SSH). Để vô hiệu hóa tài khoản, quản trị viên nên sử dụng usermod - expiredate 1 (điều này đặt ngày hết hạn của tài khoản thành ngày 2 tháng 1 năm 1970).

Vì thế

usermod --expiredate 1 [LOGIN]

đối với tôi có vẻ như đúng cách để vô hiệu hóa tài khoản mà người dùng không thể sử dụng được nữa (ví dụ: vì anh ta đã rời công ty).

Có hai phương pháp để ngăn người dùng không thể đăng nhập:

1. bạn có thể khóa người dùng bằng cách chỉnh sửa /etc/passwd
2. bằng cách trực tiếp ban hành passwdlệnh với công -ltắc

Trong trường hợp thứ hai, người dùng có thể đăng nhập bằng mã thông báo xác thực khác (ví dụ: khóa SSH).

Phương pháp số 1

1. Tìm vị trí của nologin: / bin / nologin hoặc / bin / sbin / nologin
2. Mở terminal và đăng nhập bằng root
3. Thể loại vi /etc/passwd

Bây giờ bạn đang ở passwdtập tin nhấn Insđể chỉnh sửa tập tin.

Thay đổi dòng dưới đây với nologintùy chọn ( /bin/bashcó nghĩa là người dùng có thể đăng nhập).

root:x:0:0:root:/root:/bin/bash

đến đây nologincó nghĩa là người dùng không thể đăng nhập.

root:x:0:0:root:/root:/bin/nologin

(hoặc với / bin / sbin / nologin)

4. Đóng vi Esc :wq

Phương pháp # 2

Để khóa người dùng: passwd -l username

Để mở khóa người dùng: passwd -u username

Nhiệm vụ khá dễ dàng của bạn, bạn chỉ cần thực hiện một số thay đổi trong /etc/passwdtệp.

Đơn giản là bạn phải thay đổi shell thường theo mặc định, /bin/bashtức là bạn có thể đăng nhập bằng shell này thay đổi nó thành /bin/nologinhoặc /bin/false. Đó là khuyến khích để thay đổi nó /bin/nologinvì /bin/falseđã lỗi thời.

Đặt /bin/falselàm vỏ trong/etc/passwd

Khi chúng tôi khóa người dùng bằng passwd -l userlệnh, " !!" được chỉ định trong /etc/shadowtệp. Nhưng chúng tôi vẫn có thể chuyển sang vỏ người dùng từ tài khoản root, nhưng không thể chuyển sang tài khoản người dùng bằng vỏ đăng nhập người dùng bình thường khác.

Chúng tôi cũng có thể vô hiệu hóa tài khoản bằng cách cung cấp /bin/nologinhoặc /bin/falseđăng ký /etc/passwd. Vì vậy, người dùng có thể không thể đăng nhập.

Bạn có thể sử dụng lệnh

usermod -s /sbin/nologin username