سؤال كيف يمكن منع المستخدم من الدخول إلى الموقع ، ولكن يجب السماح للمستخدم "su-user" في Linux؟


كيف تسمح للمستخدم بتسجيل الدخول باستخدام "su -  المستعمل"ولكن منع المستخدم من تسجيل الدخول باستخدام SSH؟

حاولت أن أضع القوقعة /bin/false ولكن عندما أحاول su لا يعمل.

هل هناك عدة طرق للسماح فقط بتسجيل الدخول من قبل su؟

هو SSH AllowUser وسيلة للذهاب؟ (كيف أفعل هذا إذا كان الطريق للذهاب)


86
2018-06-09 15:13


الأصل




الأجوبة:


يمكنك استخدام AllowUsers / AllowGroups إذا كان لديك عدد قليل من المستخدمين / المجموعات المسموح لهم بتسجيل الدخول عبر ssh أو DenyUsers / DenyGroups إذا كان لديك عدد قليل فقط من المستخدمين / المجموعات ليس يسمح للدخول. لاحظ أن هذا لا يؤدي إلا إلى تقييد تسجيل الدخول عبر ssh ، ولا تزال هناك طرق أخرى لتسجيل الدخول (وحدة التحكم ، وبروتوكول نقل الملفات ، ...). تحتاج إلى إضافة هذه الخيارات إلى الخاص بك / الخ / سه / sshd_config الملف لمعظم المنشآت سه.

إذا قمت بتعيين shell تسجيل الدخول إلى / بن / كاذبة يمكنك استخدام su -s /bin/bash user (يحل محل / بن / سحق مع وعاء من اختيارك)


108
2018-06-09 15:40



شكرا جزيلا للجميع. لم أكن أتوقع الحصول على 2+ upvotes على سؤالي :) أنا أحب "su -s ..." بناء الكثير ووحدة التحكم / ftp هي نقطة جيدة. كنت حقا بعد شيء مثل "سو-إس". - NoozNooz42
الخدعة هي الذهب. أستخدمه طوال الوقت لحسابات النظام التي أحتاجها لاختبار أذونات ، على سبيل المثال ، apache ، لا أحد ، إلخ. عادةً ما أقوم بـ su-user /s / bash. يمكن استخدام الوسيطة الاختيارية - لتوفير بيئة مشابهة لما يتوقعه المستخدم لو قام المستخدم بتسجيل الدخول مباشرة. - dmourati
إذا كنت بحاجة إلى تحميل متغيرات البيئة (على سبيل المثال من / etc / profile) ، فستجتاز شرطة إضافية: su - -s /bin/bash user - Leons


إذا كنت لا تزال تريد عمل SU ، فيمكنك استخدامه sudo -u [username] أو تمر -s /bin/bash to su كقشرة مؤقتة. كلاهما يفعل الشيء نفسه في غياب قذيفة في /etc/passwd.


13
2018-02-18 10:04





إذا لم يتضمن الحساب كلمة مرور (اسم المستخدم passwd -d) ، لا يمكنهم تسجيل الدخول بشكل تفاعلي (وحدة التحكم ، SSH ، إلخ). إذا كان لديهم غلاف صالح ، سو ستظل تعمل. لاحظ "بشكل تفاعلي ،" رغم ذلك ؛ إذا قرر شخص ما إعداد مفتاح SSH للحساب ، فسوف يعمل!


7
2018-06-09 15:53



هل يحتاج المستخدم إلى غلاف صالح لـ su؟ أنا متأكد من أنك لا تزال في نفس القشرة الأصلية بعد أن ترضيك مستخدمًا آخر ... أنت لا تقوم فعليًا بتسجيل الدخول كمستخدم آخر ... لذلك ، قد يؤدي تعيين shell إلى / dev / null إلى كذلك. - Brian Postow
نعم ، لا يزال بحاجة إلى غلاف صالح: [root @ localhost ~] # su daemon لا يتوفر هذا الحساب حاليًا. [root @ localhost ~] # su - daemon هذا الحساب غير متوفر حاليًا. (RHEL system، shell daemon / sbin / nologin) - astrostl


في sshd_config أضف سطرًا DenyUser [username]

لاحظ أن هذا لن يمنع هذا المستخدم من تسجيل الدخول عبر وحدة التحكم.


3
2018-06-09 15:28



التي ينبغي أن تكون DenyUsersمع "ق". - David G


بالإضافة إلى ما تم ذكره أعلاه (تعطيل و / أو عدم تعيين كلمة مرور المستخدم) ، يمكن استخدام وحدة pam_access (البحث عن صفحة رجل في pam_access و access.conf) للتحكم في الوصول إلى تسجيل الدخول.


2
2017-09-27 22:16





كما قال الآخرون

DenyUser username أو DenyGroup groupname في sshd_config سيمنع keypair / password تسجيل الدخول عبر ssh.

على الرغم من أنني عادة ما تفعل شيء من هذا القبيل AllowGroup ssh أو شيء من هذا القبيل ، وإضافة الأشخاص الذين يحتاجون إلى الوصول إلى هذه المجموعة بشكل صريح.

بعد ذلك ، يمكنك فعل ما قاله الآخرون: passwd -d username لإفراغ كلمة مرور المستخدمين ، لذلك لا يمكنهم تسجيل الدخول في وحدة التحكم ، أو بطريقة أخرى. أو الأفضل من ذلك passwd -l username ل 'قفل' ​​الحساب. من الممكن أن يمنع ssh الوصول إلى حساب مقفل ، حتى مع المفاتيح ، لكني لست إيجابيًا.


1
2018-06-09 16:15



سيسمح لك ssh بالفعل بتسجيل الدخول باستخدام مصادقة المفاتيح حتى عندما تكون كلمة مرور الحساب مؤمنة. - Richard Holloway
من الجيد أن نعرف ، شكرا على التوضيح ... - cpbills


وكما ذكرت في أحد التعليقات ، أعتقد أنه لا يزال بإمكانك الاشتراك في حساب باستخدام قسيمة غير صالحة. لذلك إذا قمت بتعيين shell الخاص بالمستخدم إلى / dev / null أو أيًا كان shell of bin ، فيجب أن تكون قادرًا على الاستمرار في استخدام ذلك المستخدم ... ولكن أي محاولة لتسجيل الدخول بأي شكل من الأشكال ستوقفك عن التراجع ...


1
2018-06-09 16:26





تحرير / الخ / الظل عن طريق إضافة! إلى بداية تجزئة كلمة المرور.

username:!<hash>:#####:#:#####:#:::

عند تأمين تثبيت جديد هذا هو أول شيء أقوم به بعد تثبيت sudo ، لذلك لا أحد قادر على استخدام المستخدم الجذر لتسجيل الدخول أو ssh في النظام ، قد لا يزال المستخدمون sudo تنفيذ كمستخدم الجذر.


1
2017-12-31 01:38





لا تحدد كلمة مرور للمستخدم غير المسموح له بتسجيل الدخول أو حذفه.

# passwd -d myuser

0
2018-06-09 15:50