आप किसी उपयोगकर्ता को " su - उपयोगकर्ता " का उपयोग करने में लॉग इन करने की अनुमति कैसे देते हैं लेकिन उपयोगकर्ता को एसएसएच का उपयोग करने में लॉगिन से रोकते हैं?
मैंने शेल को सेट करने की कोशिश की, /bin/falseलेकिन जब मैं कोशिश suकरता हूं तो यह काम नहीं करता है।
क्या केवल लॉगिन करने की अनुमति देने के कई तरीके हैं su?
क्या SSH जाने का AllowUserरास्ता है? (अगर यह जाने का रास्ता है तो मैं यह कैसे करूंगा)
जवाबों:
आप उपयोग कर सकते हैं AllowUsers / AllowGroups यदि आप केवल कुछ ही उपयोगकर्ता / समूह है कि ssh या के माध्यम से प्रवेश करने की अनुमति है DenyUsers / DenyGroups यदि आप केवल कुछ ही उपयोगकर्ता / समूह है कि कर रहे हैं नहीं प्रवेश करने की अनुमति। ध्यान दें कि यह केवल ssh के माध्यम से लॉगिन को प्रतिबंधित करता है, लॉगिन के अन्य तरीके (कंसोल, ftp, ...) अभी भी संभव हैं। आपको अधिकांश ssh स्थापनाओं के लिए इन विकल्पों को अपने / etc / ssh / sshd_config फ़ाइल में जोड़ना होगा ।
यदि आपने लॉगिन शेल को / बिन / झूठे पर सेट किया है तो आप अपनी पसंद के शेल के साथ प्रयोग su -s /bin/bash user(प्रतिस्थापित / बिन / बैश ) कर सकते हैं
su - -s /bin/bash user
यदि किसी खाते में कोई पासवर्ड ( पासवार्ड-उपयोगकर्ता नाम ) नहीं है, तो वे अंतःक्रियात्मक रूप से लॉग इन नहीं कर सकते हैं (कंसोल, एसएसएच, आदि)। यदि उनके पास एक वैध शेल है, तो सु अभी भी काम करेगा। "अंतःक्रियात्मक" पर ध्यान दें, हालांकि; अगर कोई खाता के लिए SSH कीपेयर स्थापित करने का निर्णय लेता है, तो यह काम करेगा!
जैसा कि दूसरों ने कहा है;
DenyUser usernameया DenyGroup groupnameमें sshd_configssh के माध्यम से कुंजीयुग्म / पासवर्ड लॉगिन रोका जा सके।
हालाँकि, मैं आमतौर पर AllowGroup sshउन पंक्तियों के साथ कुछ या ऐसा कुछ करता हूं , और उन लोगों को स्पष्ट रूप से जोड़ता हूं जिन्हें उस समूह तक पहुंच की आवश्यकता होती है।
फिर, आप अन्य के रूप में कर सकते हैं: passwd -d usernameउपयोगकर्ताओं के पासवर्ड को खाली करने के लिए, इसलिए वे कंसोल, या किसी अन्य तरीके से लॉग इन नहीं कर सकते। या passwd -l usernameखाते को 'लॉक' करना बेहतर है । यह संभव है कि ssh एक बंद खाते तक पहुंच से इनकार कर देगा, यहां तक कि चाबियों के साथ भी, लेकिन मैं सकारात्मक नहीं हूं।
जैसा कि मैंने एक टिप्पणी में उल्लेख किया है, मुझे लगता है कि आप अभी भी अमान्य शेल वाले खाते में मुकदमा कर सकते हैं। इसलिए यदि आप उपयोगकर्ता के शेल को / dev / null या बिन के शेल के रूप में सेट करते हैं, तो आपको अभी भी उस उपयोगकर्ता पर मुकदमा करने में सक्षम होना चाहिए ... लेकिन किसी भी तरह से लॉग इन करने का कोई भी प्रयास आपको वापस छोड़ देगा ...
जोड़कर / संपादित करें / छाया! पासवर्ड हैश की शुरुआत में।
username:!<hash>:#####:#:#####:#:::
जब एक नया इंस्टॉल हासिल करना यह पहली चीज है जो मैं sudo को इंस्टॉल करने के बाद करता हूं, तो कोई भी सिस्टम में लॉगिन या ssh के लिए रूट उपयोगकर्ता का उपयोग करने में सक्षम नहीं है, sudo उपयोगकर्ता अभी भी रूट उपयोगकर्ता के रूप में निष्पादित कर सकता है।
उपयोगकर्ता को लॉग इन करने या उसे हटाने की अनुमति नहीं देने के लिए एक पासवर्ड निर्दिष्ट न करें।
# passwd -d myuser
मान लें कि आप केवल उपयोगकर्ता को रूट के खाते से su करना चाहते हैं, और अन्य सभी एक्सेस को अक्षम करें:
इसका उपयोग करें (रूट के रूप में चलाएँ):
usermod -e 1 -L user
यह पासवर्ड लॉगिन को अक्षम करता है (जैसा कि कई अन्य उत्तरों ने सलाह दी है), लेकिन यह खाता भी समाप्त करता है । आप SSH कुंजियों के साथ एक समाप्त हुए खाते में प्रवेश नहीं कर सकते। आप अभी भी कर सकते हैं su user, हालांकि यह एक सूचना प्रदर्शित करेगा कि खाता समाप्त हो गया है।
यह जानना कि कौन सा तंत्र सर्वोत्तम है, आवश्यकताओं पर निर्भर करता है। यदि आप आवश्यकताओं को जानते हैं, तो आप उपयुक्त तंत्र चुन सकते हैं। उपरोक्त सभी उत्तर आवश्यकताओं के कुछ सेट के लिए मान्य हैं।
क्या आप केवल SSH पहुंच को प्रतिबंधित करना चाहते हैं? क्या आपको मेल या ssh विधियों के लिए पहुँच की आवश्यकता है? क्या जड़ से ही पहुँच है?
su - userउपयोगकर्ता के लिए पासवर्ड की आवश्यकता होगी यदि वह चलाया जाता है जो रूट के अलावा अन्य उपयोगकर्ता है। हालांकि, sudo -u user -iउपयोगकर्ता के लिए पासवर्ड की आवश्यकता नहीं है।