Хто з користувачів за замовчуванням може входити через SSH?

1. Коли я налаштував свій Debian 6, мені було цікаво, які користувачі, крім root, чий я знаю пароль, можуть увійти до моєї системи через SSH?

2. Коли я встановлюю Apache 2, створюється користувач, який називається www-data. Чи має цей користувач право входити в мою систему через SSH? Але якщо для www-даних був якийсь пароль за замовчуванням, кожен міг би увійти, мені здається малоймовірним.

3. Де я маю список, яким користувачам дозволено входити в мою систему через SSH? Неможливо знайти нічого у файлах конфігурації ssh.

Paradeepchhetri не зовсім коректний.

Немодифікований Debian sshd_configмає таке:

PubkeyAuthentication yes
PermitEmptyPasswords no
UsePAM yes

Таким чином, вхід через ssh працював би лише для користувачів, у яких є заповнене поле паролем /etc/shadowабо ключ ssh ~/.ssh/authorized_keys. Зверніть увагу, що значення за замовчуванням для PubkeyAuthenticationє yesі PermitEmptyPasswordsє no, тому навіть якщо ви видалите їх, поведінка буде однаковою.

У прикладі запитання www-dataза замовчуванням не буде дозволено входити в систему, оскільки інсталятор Debian не призначає пароль і не створює ключ для www-data.

pam_access, AllowUsersІ AllowGroupsв sshd_configможе бути використана для управління більш тонкого , якщо це необхідно. У Debian це настійно рекомендується UsePAM.

За замовчуванням вхід дозволений для всіх користувачів Debian.

Ви можете змінити його, дозволивши певним користувачам, які можуть увійти, редагуючи /etc/ssh/sshd_configфайл.

Як згадується на довільній сторінці sshd_config.

AllowUsers

За цим ключовим словом може супроводжуватися список моделей імен користувачів, розділених
пробілами. Якщо вказано, вхід дозволений лише для імен користувачів, які відповідають одному з шаблонів. Дійсні лише імена користувачів; числовий ідентифікатор користувача не
розпізнається. За замовчуванням вхід дозволений для всіх користувачів. Якщо зразок має форму , USER@HOSTто USERі HOSTокремо перевіряється, обмежуючи логіни до певних користувачам з певних хостів. Дозволити / заборонити директиви обробляються в наступному порядку: DenyUsers, AllowUsers, DenyGroup, і , нарешті AllowGroups.

За замовчуванням SSH serverнавіть не встановлено. Вам доведеться встановити openssh-serverпакет до того, як хтось зможе отримати SSH.

Після цього будь-який користувач повинен пройти дві перевірки:

• Аутентифікація SSH
• Чеки рахунку PAM

Аутентифікація SSH означає, що або користувач повинен мати дійсний пароль, /etc/shadowабо він має дійсний відкритий ключ SSH з правильними правами доступу до цільового користувача ~/.ssh/authorized_keys.

Дійсні паролі описані далі на crypt(3)сторінці man, але в основному, якщо друге поле користувача в /etc/shadowчомусь починається $NUMBER$, воно, ймовірно, дійсне, і якщо це *або !, воно недійсне.

Перевірка облікового запису PAM в основному означає, що рахунок не закінчився. Ви можете перевірити це, використовуючи chage -l USERNAME.

Тож, наскільки мені відповідати на ваші запитання:

1. Лише корінь та обліковий запис, створений під час майстра встановлення, можуть увійти в нову систему
2. Ні, тому що www-dataмає хешований пароль *і немає ~www-data/.ssh/authorized_keysфайлу
3. Єдиного списку немає, оскільки існує декілька вимог, але, щоб зрозуміти, ви можете спробувати запустити grep -v '^[^:]*:[!*]:' /etc/shadow