Вимкніть вхід користувача, не вимикаючи обліковий запис

Скажімо, я створюю користувача під назвою "bogus" за допомогою adduserкоманди. Як я можу переконатися, що цей користувач НЕ буде доступним для входу, не вимикаючи обліковий запис. Коротше кажучи, я хочу, щоб обліковий запис був доступний через su - bogus, але я не хочу, щоб він був доступний через звичайне запит на вхід.

Шукаючи навколо, здається, мені потрібно вимкнути пароль цього користувача, але це passwd -d bogusне допомогло. Насправді це погіршило ситуацію, тому що я тепер міг увійти до фальшивих даних, навіть не ввівши пароль.

Чи є спосіб відключити регулярні входи для даного облікового запису?

Примітка. Щоб зрозуміти, я знаю, як вилучити користувача з параметрів меню графічних екранів входу, таких як gdm, але ці методи просто приховують обліковий запис, фактично не вимикаючи вхід. Я шукаю спосіб повністю відключити регулярний вхід, включений текстовий режим.

passwd -l user

це те, що ти хочеш.

Це заблокує обліковий запис користувача. Але ти все одно зможеш

su - user

але вам доведеться su - userяк корінь.

Крім того, ви можете зробити те ж саме, попередньо !встановивши пароль користувача в /etc/shadow(це все passwd -lробиться за кадром). І passwd -uскасуємо це.

Сторінка людини passwd(1)говорить про passwd -l:

Зауважте, що це не вимикає обліковий запис. Користувач може все-таки мати можливість увійти, використовуючи інший маркер аутентифікації (наприклад, ключ SSH). Щоб вимкнути обліковий запис, адміністраторам слід використовувати usermod --expiredate 1 (цей термін дії облікового запису встановлено до 2 січня 1970 р.).

Тому

usermod --expiredate 1 [LOGIN]

мені здається, що правильним способом відключення облікового запису користувач більше не може користуватися (наприклад, тому, що він покинув компанію).

Є два способи запобігти користувачеві можливість входу:

1. ви можете заблокувати користувача шляхом редагування /etc/passwd
2. безпосередньо видавши passwdкоманду за допомогою -lперемикача

У другому випадку користувач може увійти, використовуючи інший маркер аутентифікації (наприклад, ключ SSH).

Спосіб №1

1. Знайдіть, де нологін: / bin / nologin або / bin / sbin / nologin
2. Відкрийте термінал та увійдіть як root
3. Тип vi /etc/passwd

Тепер ви знаходитесь у passwdфайлі, Insщоб редагувати файл.

Змініть рядок нижче за допомогою nologinпараметра ( /bin/bashозначає, що користувач може увійти).

root:x:0:0:root:/root:/bin/bash

до цього. nologinозначає, що користувач не може увійти.

root:x:0:0:root:/root:/bin/nologin

(або з / bin / sbin / nologin)

4. Закрийте ви Esc :wq

Спосіб №2

Щоб заблокувати користувача: passwd -l username

Щоб розблокувати користувача: passwd -u username

Це досить просте завдання, ви просто повинні внести деякі зміни у /etc/passwdфайл.

Просто ви повинні змінити оболонку, яка, як правило, за замовчуванням, /bin/bashтобто ви можете увійти, використовуючи цю оболонку, змінити її на /bin/nologinабо /bin/false. Доцільно змінити його, /bin/nologinоскільки /bin/falseвін застарів.

Встановити /bin/falseяк оболонку в/etc/passwd

Коли ми блокуємо користувача за допомогою passwd -l userкоманди, !!у /etc/shadowфайлі вказується " " . Але ми все ще можемо переключитися на оболонку користувача з кореневого облікового запису, але не можемо перейти на акаунт користувача іншими звичайними оболонками для входу в систему.

Ми також можемо вимкнути обліковий запис, надавши /bin/nologinабо /bin/falseу /etc/passwdфайл. Тому користувач може не ввійти в систему.

Ви можете використовувати команду

usermod -s /sbin/nologin username