Як ви дозволяєте користувачеві входити в систему за допомогою " su - user ", але не дозволяєте користувачеві входити в систему за допомогою SSH?
Я намагався встановити оболонку, /bin/falseале коли я намагаюся, suвона не працює.
Чи існує кілька способів дозволити вхід лише через su?
SSH - AllowUserце шлях? (як би я це зробив, якщо це шлях)
Відповіді:
Ви можете використовувати AllowUsers / AllowGroups , якщо у вас є тільки кілька користувачів / груп, яким дозволено увійти через SSH або DenyUsers / DenyGroups , якщо у вас є тільки кілька користувачів / груп, які НЕ дозволені для входу. Зауважте, що це обмежує вхід лише через ssh, інші способи входу (консоль, ftp, ...) все ще можливі. Вам потрібно додати ці параметри до файлу / etc / ssh / sshd_config для більшості установок ssh.
Якщо ви встановили оболонку входу на / bin / false, ви можете використовувати su -s /bin/bash user(замінити / bin / bash на обрану оболонку)
su - -s /bin/bash user
Якщо в обліковому записі немає пароля ( ім’я користувача passwd -d ), він не може ввійти в систему інтерактивно (консоль, SSH тощо). Якщо вони мають дійсну оболонку, su все ще працюватиме. Зверніть увагу на "інтерактивно"; якщо хтось вирішить встановити ключ SSH для облікового запису, він буде працювати!
як казали інші;
DenyUser usernameабо DenyGroup groupnameв sshd_configперешкоджатиме введенню ключа / пароля через ssh.
хоча я зазвичай роблю щось подібне AllowGroup sshчи щось за цими напрямками, і явно додаю людей, яким потрібен ssh доступ до цієї групи.
тоді ви можете зробити так, як сказали інші: passwd -d usernameвидалити пароль користувачів, щоб вони не могли увійти на консолі чи іншим способом. а ще краще passwd -l username"заблокувати" акаунт. можливо, ssh заборонить доступ до заблокованого облікового запису навіть за допомогою ключів, але я не позитивний.
Як я вже згадував у коментарі, я думаю, що ви все ще можете входити в обліковий запис з недійсною оболонкою. Тож якщо ви встановите оболонку користувача на / dev / null або будь-яку оболонку бін, ви повинні мати змогу все-таки користуватися цим користувачем ... але будь-яка спроба увійти будь-яким чином призведе до відмови від вас ...
редагувати / тощо / тінь, додаючи! до початку хешу пароля.
username:!<hash>:#####:#:#####:#:::
Під час забезпечення нової інсталяції - це перше, що я роблю після встановлення sudo, тому ніхто не може використовувати кореневого користувача для входу в систему або ssh в систему, користувачі sudo все ще можуть виконувати функцію root користувача.
Не вказуйте пароль для користувача, якому не дозволяється входити або видаляти його.
# passwd -d myuser
Якщо припустити, що ви хочете користуватися користувачем лише з облікового запису root та відключити весь інший доступ:
Використовуйте це (запустити як root):
usermod -e 1 -L user
Це вимикає вхід із паролем (як і багато інших відповідей), але термін дії облікового запису також закінчується . Ви не можете увійти до облікового запису, який минув, наприклад, за допомогою SSH-ключів. Ви все ще можете su user, хоча на ньому з’явиться повідомлення про те, що термін дії рахунку закінчився.
Знання того, який механізм найкраще, залежить від вимог. Якщо ви знаєте вимоги, можете вибрати відповідний механізм. Усі вищезазначені відповіді справедливі для певного набору вимог.
Ви хочете лише обмежити доступ до SSH? Вам потрібен доступ для пошти чи ssh методів? Чи доступ лише від root?
su - userбуде потрібен пароль для користувача, якщо він запущений, буде користувачем, відмінним від root. Однак sudo -u user -iне потрібен пароль для користувача.