Wie kann sich ein Benutzer mit " su - user " anmelden, ohne dass sich der Benutzer mit SSH anmeldet?
Ich habe versucht, die Shell auf zu setzen, /bin/falseaber wenn ich es versuche, sufunktioniert es nicht.
Gibt es mehrere Möglichkeiten, nur Anmeldungen über zuzulassen su?
Ist SSH der richtige AllowUserWeg? (Wie würde ich das machen, wenn es der richtige Weg wäre?)
Antworten:
Sie können AllowUsers / AllowGroups verwenden, wenn Sie nur wenige Benutzer / Gruppen haben, die sich über ssh anmelden dürfen, oder DenyUsers / DenyGroups, wenn Sie nur wenige Benutzer / Gruppen haben, die sich nicht anmelden dürfen. Beachten Sie, dass dies nur die Anmeldung über ssh einschränkt. Andere Anmeldemöglichkeiten (Konsole, FTP, ...) sind weiterhin möglich. Sie müssen diese Optionen für die meisten ssh-Installationen zu Ihrer Datei / etc / ssh / sshd_config hinzufügen .
Wenn Sie die Login-Shell auf / bin / false gesetzt haben , können Sie sie verwenden su -s /bin/bash user(ersetzen Sie / bin / bash durch die Shell Ihrer Wahl).
su - -s /bin/bash user
Wenn ein Konto kein Kennwort hat ( passwd -d Benutzername ), können sie sich nicht interaktiv anmelden (Konsole, SSH usw.). Wenn sie eine gültige Shell haben, funktioniert su immer noch. Beachten Sie jedoch "interaktiv"; Wenn jemand beschließt, ein SSH-Schlüsselpaar für das Konto einzurichten, funktioniert es!
wie andere gesagt haben;
DenyUser usernameoder DenyGroup groupnamein sshd_configwürde die Anmeldung mit Schlüsselpaar / Passwort über ssh verhindern.
obwohl ich normalerweise so etwas mache AllowGroup sshoder so, und explizit Leute hinzufüge, die SSH-Zugang zu dieser Gruppe benötigen.
Sie können dann wie von anderen gesagt passwd -d usernamevorgehen, um das Benutzerpasswort auszublenden, damit sich die Benutzer nicht an der Konsole anmelden können, oder auf andere Weise. oder noch besser passwd -l username, um das Konto zu "sperren". Es ist möglich, dass ssh den Zugriff auf ein gesperrtes Konto verweigert, auch mit Schlüsseln, aber ich bin nicht positiv.
Wie ich in einem Kommentar erwähnte, denke ich, dass Sie immer noch ein Konto mit einer ungültigen Shell aufladen können. Wenn Sie also die Shell des Benutzers auf / dev / null setzen oder was auch immer die Shell von bin ist, sollten Sie in der Lage sein, sich weiterhin in diesen Benutzer einzuloggen ... Aber jeder Versuch, sich auf irgendeine Weise anzumelden, beendet Sie wieder ...
editiere / etc / shadow durch Hinzufügen! an den Anfang des Passwort-Hashs.
username:!<hash>:#####:#:#####:#:::
Beim Sichern einer Neuinstallation ist dies das erste, was ich nach der Installation von sudo mache, damit sich niemand mit dem Root-Benutzer oder ssh im System anmelden kann. Sudo-Benutzer können weiterhin als Root-Benutzer ausgeführt werden.
Geben Sie kein Kennwort für den Benutzer an, der sich nicht anmelden oder löschen darf.
# passwd -d myuser
Angenommen, Sie möchten nur einen Benutzer aus dem Root-Konto su und alle anderen Zugriffe deaktivieren:
Verwenden Sie dies (als root ausführen):
usermod -e 1 -L user
Dadurch wird die Kennwortanmeldung deaktiviert (wie in vielen anderen Antworten empfohlen), aber das Konto läuft auch ab . Sie können sich nicht mit einem abgelaufenen Konto anmelden, z. B. mit SSH-Schlüsseln. Sie können es trotzdem su user, obwohl eine Meldung angezeigt wird, dass das Konto abgelaufen ist.
Zu wissen, welcher Mechanismus am besten ist, hängt von den Anforderungen ab. Wenn Sie die Anforderungen kennen, können Sie den entsprechenden Mechanismus auswählen. Alle obigen Antworten gelten für eine Reihe von Anforderungen.
Möchten Sie nur den SSH-Zugriff einschränken? Benötigen Sie Zugriff für Mail- oder SSH-Methoden? Geht der Zugriff nur von root aus?
su - usererfordert ein Kennwort für den Benutzer, wenn es von einem anderen Benutzer als root ausgeführt wird. Allerdings sudo -u user -ierfordert kein Passwort für den Benutzer.