Những người dùng nào được phép đăng nhập qua SSH theo mặc định?

1. Khi tôi thiết lập Debian 6, tôi đã tự hỏi, những người dùng nào ngoài root có mật khẩu mà tôi biết có thể đăng nhập vào hệ thống của mình thông qua SSH?

2. Khi tôi cài đặt Apache 2, một người dùng được gọi là dữ liệu www sẽ được tạo. Người dùng này có quyền đăng nhập vào hệ thống của tôi thông qua SSH không? Nhưng nếu có một số mật khẩu mặc định cho dữ liệu www, mọi người đều có thể đăng nhập, dường như tôi không thể.

3. Tôi có danh sách người dùng nào được phép đăng nhập vào hệ thống của mình thông qua SSH? Không thể tìm thấy bất cứ điều gì trong các tập tin cấu hình ssh.

Paradeepchhetri không chính xác.

Debian chưa được sửa đổi sshd_configcó các mục sau:

PubkeyAuthentication yes
PermitEmptyPasswords no
UsePAM yes

Do đó, đăng nhập qua ssh sẽ chỉ hoạt động đối với người dùng có trường mật khẩu được điền /etc/shadowhoặc khóa ssh ~/.ssh/authorized_keys. Lưu ý rằng giá trị mặc định cho PubkeyAuthenticationlà yesvà cho PermitEmptyPasswordslà no, vì vậy ngay cả khi bạn loại bỏ chúng, hành vi sẽ giống nhau.

Trong ví dụ câu hỏi, www-datatheo mặc định, sẽ không được phép đăng nhập vì trình cài đặt của Debian không gán mật khẩu cũng như không tạo khóa cho www-data.

pam_access, AllowUsersVà AllowGroupstrong sshd_configcó thể được sử dụng để kiểm soát tốt hơn nếu đó là cần thiết. Trong Debian, nó được khuyến khích mạnh mẽ UsePAM.

Theo mặc định, đăng nhập được phép cho tất cả người dùng trên Debian.

Bạn có thể thay đổi nó bằng cách cho phép một số người dùng có thể đăng nhập bằng cách chỉnh sửa /etc/ssh/sshd_configtệp.

Như đã đề cập trong trang man của sshd_config.

AllowUsers

Từ khóa này có thể được theo sau bởi một danh sách các mẫu tên người dùng, được phân tách bằng
dấu cách. Nếu được chỉ định, đăng nhập chỉ được phép cho tên người dùng khớp với một trong các mẫu. Chỉ tên người dùng là hợp lệ; ID người dùng số không
được công nhận. Theo mặc định, đăng nhập được phép cho tất cả người dùng. Nếu mẫu có dạng USER@HOSTsau đó USERvà HOSTđược kiểm tra riêng, hạn chế đăng nhập cho người dùng cụ thể từ các máy chủ cụ thể. Các phép / từ chối chỉ thị được xử lý theo trình tự sau: DenyUsers, AllowUsers, DenyGroup, và cuối cùng AllowGroups.

Theo mặc định, SSH serverthậm chí không được cài đặt. Bạn sẽ phải cài đặt openssh-servergói trước khi ai đó có thể SSH vào.

Sau đó, bất kỳ người dùng nào cũng phải vượt qua hai kiểm tra:

• Xác thực SSH
• Kiểm tra tài khoản PAM

Xác thực SSH có nghĩa là người dùng phải có mật khẩu hợp lệ /etc/shadowhoặc họ có khóa công khai SSH hợp lệ với quyền phù hợp trong người dùng đích ~/.ssh/authorized_keys.

Mật khẩu hợp lệ được mô tả kỹ hơn trong crypt(3)trang man, nhưng về cơ bản nếu trường thứ 2 của người dùng /etc/shadowlà bất cứ thứ gì bắt đầu $NUMBER$, thì nó có thể hợp lệ và nếu nó *hoặc !, nó không hợp lệ.

Kiểm tra tài khoản PAM về cơ bản có nghĩa là tài khoản chưa hết hạn. Bạn có thể kiểm tra bằng cách sử dụng chage -l USERNAME.

Vì vậy, để trả lời câu hỏi của bạn, theo hiểu biết của tôi:

1. Chỉ root và tài khoản bạn tạo trong trình hướng dẫn cài đặt mới có thể đăng nhập vào hệ thống mới
2. Không, vì www-datacó mật khẩu băm *và không có ~www-data/.ssh/authorized_keystệp
3. Không có danh sách duy nhất, vì có nhiều yêu cầu, nhưng để có ý tưởng, bạn có thể thử chạy grep -v '^[^:]*:[!*]:' /etc/shadow