Tốt nhất là sử dụng khóa chung cho SSH. Vì vậy, tôi sshd_configcó PasswordAuthentication no.
Một số người dùng không bao giờ đăng nhập, ví dụ người dùng sftp có shell /usr/sbin/nologin. Hoặc một tài khoản hệ thống.
Vì vậy, tôi có thể tạo một người dùng như vậy mà không cần mật khẩu adduser gary --shell /usr/sbin/nologin --disabled-password.
Đó có phải là một ý tưởng tốt / xấu? Có sự phân nhánh nào tôi chưa xem xét?
Câu trả lời:
Nếu bạn có quyền truy cập root vào máy chủ và có thể tạo lại khóa ssh cho người dùng của bạn trong trường hợp họ mất chúng
VÀ
bạn chắc chắn rằng một người dùng (với tư cách là một người) sẽ không có nhiều tài khoản người dùng và họ cần chuyển đổi giữa các tài khoản trên một phiên SSH (tốt, họ cũng có thể mở nhiều phiên SSH nếu có nhu cầu)
VÀ
họ sẽ không bao giờ cần truy cập "vật lý" (thông qua bàn phím + màn hình hoặc qua bảng điều khiển từ xa cho máy ảo) vào máy chủ
VÀ
không có người dùng nào có sudoquyền truy cập bằng mật khẩu (nghĩa là họ hoàn toàn không có quyền truy cập sudo hoặc có quyền truy cập sudo với NOPASSWD)
Tôi nghĩ bạn sẽ tốt thôi.
Chúng tôi có nhiều máy chủ hoạt động được cấu hình như thế này (chỉ một số tài khoản cần truy cập vào VM thông qua bảng điều khiển từ xa vmware, những máy chủ khác chỉ kết nối qua SSH với pubkey auth).
PasswordAuthentication nothì đó là một vấn đề khác (người dùng sẽ không thể đăng nhập bằng mọi cách).
Câu hỏi này ban đầu được đề cập passwd --delete <username> là không an toàn : với điều đó, trường mật khẩu được mã hóa trong /etc/shadowsẽ hoàn toàn trống rỗng.
username::...
Nếu bạn đã định cấu hình sshdđể từ chối xác thực mật khẩu, thì điều đó an toàn với SSH ... Nhưng nếu bất kỳ dịch vụ nào khác trên hệ thống của bạn sử dụng xác thực mật khẩu và không được định cấu hình để từ chối mật khẩu null, điều này cho phép truy cập mà không cần mật khẩu! Bạn không muốn điều này.
adduser --disabled-passwdsẽ tạo ra một /etc/shadowmục trong đó trường mật khẩu được mã hóa chỉ là dấu hoa thị, tức là
username:*:...
Đây là "mật khẩu được mã hóa không bao giờ có thể nhập thành công", nghĩa là tài khoản này hợp lệ và về mặt kỹ thuật cho phép đăng nhập, nhưng nó khiến việc xác thực bằng mật khẩu không thể thành công . Vì vậy, nếu bạn có bất kỳ dịch vụ dựa trên xác thực mật khẩu nào khác trên máy chủ của mình, người dùng này sẽ bị chặn khỏi chúng.
Chỉ các phương thức xác thực sử dụng thứ gì đó không phải mật khẩu tài khoản tiêu chuẩn (ví dụ: khóa SSH) mới hoạt động cho người dùng này, cho bất kỳ dịch vụ nào sử dụng tệp mật khẩu hệ thống trong hệ thống này. Khi bạn cần một người dùng chỉ có thể đăng nhập bằng các khóa SSH, đây là những gì bạn muốn.
Nếu bạn cần đặt tài khoản hiện tại ở trạng thái này, bạn có thể sử dụng lệnh này:
echo 'username:*' | chpasswd -e
Có một giá trị đặc biệt thứ ba cho trường mật khẩu được mã hóa : adduser --disabled-login, sau đó trường sẽ chỉ chứa một dấu chấm than duy nhất.
username:!:...
Giống như dấu hoa thị, điều này làm cho xác thực mật khẩu không thể thành công, nhưng nó cũng có một ý nghĩa bổ sung: nó đánh dấu mật khẩu là "bị khóa" đối với một số công cụ quản trị. passwd -lcó nhiều tác dụng tương tự bằng cách thêm tiền tố băm mật khẩu hiện tại bằng dấu chấm than, điều này một lần nữa làm cho việc xác thực mật khẩu không thể sử dụng.
Nhưng đây là một cái bẫy cho người không thận trọng: vào năm 2008, phiên bản passwdlệnh xuất phát từ shadowgói cũ đã được thay đổi để định nghĩa lại passwd -ltừ "khóa tài khoản" thành "khóa mật khẩu". Lý do đã nêu là "để tương thích với phiên bản passwd khác".
Nếu bạn (như tôi) đã học được điều này từ lâu, nó có thể là một bất ngờ khó chịu. Nó cũng không giúp gì cho những vấn đề adduser(8)dường như chưa nhận thức được sự khác biệt này.
Phần vô hiệu hóa tài khoản cho tất cả các phương thức xác thực thực sự đang đặt giá trị ngày hết hạn là 1 cho tài khoản : usermod --expiredate 1 <username>. Trước năm 2008, passwd -lđiều đó bắt nguồn từ bộ shadownguồn được sử dụng để làm điều này ngoài việc thêm tiền tố vào mật khẩu bằng dấu chấm than - nhưng không còn làm điều đó nữa.
Thay đổi gói Debian nói:
- debian / patch / 494_passwd_lock-no_account_lock: Khôi phục hành vi trước đó của passwd -l (đã thay đổi trong # 389183): chỉ khóa mật khẩu người dùng, không phải tài khoản của người dùng. Cũng rõ ràng tài liệu về sự khác biệt. Điều này khôi phục một hành vi phổ biến với các phiên bản trước của passwd và với các triển khai khác. Đóng: # 492307
Lịch sử lỗi cho lỗi Debian 492307 và lỗi 389183 có thể hữu ích trong việc tìm hiểu suy nghĩ đằng sau điều này.
adduser --disabled-passwd- vì vậy nếu một số dịch vụ khác cho phép xác thực mật khẩu, thì người dùng có thể đăng nhập mà không cần mật khẩu?
adduser --disabled-passwordđặc biệt làm cho xác thực mật khẩu không thể thành công cho tài khoản đó.
*để nó là điều đầu tiên mọi người đọc.
passwdmã nguồn vào năm 2008. Bạn không thích nó khi thứ gì đó bạn từng học và sau đó dựa vào hóa ra không còn nữa?
sudotruy cập (do không có quyền sudo nào cả, hoặc có quyền sudo vớiNOPASSWD), câu trả lời bạn chọn phải phù hợp. Tôi đã gửi một bản chỉnh sửa cho câu trả lời đó để bao gồm mối quan tâm sudo nhưng trong khi đó tôi sẽ gọi nó cho bạn ở đây.