कौन से उपयोगकर्ताओं को डिफ़ॉल्ट रूप से SSH के माध्यम से लॉग इन करने की अनुमति है?

1. जब मैंने अपना डेबियन 6 सेट किया, तो मैं सोच रहा था कि कौन से उपयोगकर्ता रूट से अलग हैं जिनके पासवर्ड से मुझे पता है कि एसएसएच के माध्यम से मेरे सिस्टम में लॉग इन किया जा सकता है?

2. जब मैं Apache 2 स्थापित करता हूं, तो www-data नामक उपयोगकर्ता बन जाता है। क्या इस उपयोगकर्ता को SSH के माध्यम से मेरे सिस्टम में लॉग इन करने का अधिकार है? लेकिन अगर www-data के लिए कुछ डिफॉल्ट पासवर्ड होता है, तो हर कोई लॉग इन कर सकता है, मुझे इसकी संभावना कम लगती है।

3. मेरे पास एक सूची कहां है जिसे उपयोगकर्ताओं को SSH के माध्यम से मेरे सिस्टम में लॉग इन करने की अनुमति है? Ssh config फाइल में कुछ भी नहीं मिल सकता है।

पारादीपचेरी बिल्कुल सही नहीं है।

डेबियन के अनमोडिफाइड sshd_configमें निम्नलिखित हैं:

PubkeyAuthentication yes
PermitEmptyPasswords no
UsePAM yes

इस प्रकार, ssh के माध्यम से लॉगिन केवल उन्हीं उपयोगकर्ताओं के लिए काम करेगा जिनके पास आबादी वाला पासवर्ड फ़ील्ड /etc/shadowया ssh कुंजी है ~/.ssh/authorized_keys। ध्यान दें कि डिफ़ॉल्ट मान PubkeyAuthenticationहै yesऔर इसके लिए PermitEmptyPasswordsहै no, इसलिए भले ही आप उन्हें हटा दें व्यवहार समान होगा।

प्रश्न के उदाहरण में, www-dataडिफ़ॉल्ट रूप से लॉग इन करने की अनुमति नहीं होगी क्योंकि डेबियन का इंस्टॉलर न तो पासवर्ड देता है और न ही इसके लिए कोई कुंजी बनाता है www-data।

pam_access, AllowUsersऔर AllowGroupsमें sshd_configहै कि आवश्यक है यदि बेहतर नियंत्रण के लिए इस्तेमाल किया जा सकता। डेबियन में इसे दृढ़ता से प्रोत्साहित किया जाता है UsePAM।

डिफ़ॉल्ट रूप से, डेबियन पर सभी उपयोगकर्ताओं के लिए लॉगिन की अनुमति है।

आप इसे कुछ उपयोगकर्ताओं को अनुमति दे सकते हैं जो /etc/ssh/sshd_configफ़ाइल को संपादित करके लॉग इन कर सकते हैं ।

जैसा कि sshd_config के मैन पेज में बताया गया है।

AllowUsers

इस कीवर्ड का अनुसरण उपयोगकर्ता नाम पैटर्न की एक सूची के द्वारा किया जा सकता है, जिसे
रिक्त स्थान द्वारा अलग किया गया है। यदि निर्दिष्ट किया गया है, तो लॉगिन केवल उन उपयोगकर्ता नामों के लिए अनुमत है जो किसी एक पैटर्न से मेल खाते हैं। केवल उपयोगकर्ता नाम मान्य हैं; एक संख्यात्मक उपयोगकर्ता आईडी
मान्यता प्राप्त नहीं है। डिफ़ॉल्ट रूप से, सभी उपयोगकर्ताओं के लिए लॉगिन की अनुमति है। यदि पैटर्न USER@HOSTतब रूप ले लेता है USERऔर HOSTअलग-अलग जांचा जाता है, तो विशेष रूप से मेजबान से विशेष उपयोगकर्ताओं के लिए लॉगिन प्रतिबंधित करता है। अनुमति देते हैं / इनकार निर्देशों निम्न क्रम में संसाधित कर रहे हैं: DenyUsers, AllowUsers, DenyGroup, और अंत में AllowGroups।

डिफ़ॉल्ट रूप से, SSH serverस्थापित भी नहीं है। openssh-serverकिसी को भी SSH में करने से पहले आपको पैकेज स्थापित करना होगा ।

उसके बाद, किसी भी उपयोगकर्ता को दो चेक पास करने होंगे:

• एसएसएच प्रमाणीकरण
• पीएएम खाते की जाँच

SSH प्रमाणीकरण का अर्थ है कि या तो उपयोगकर्ता के पास एक वैध पासवर्ड होना चाहिए /etc/shadowया उनके पास एक वैध SSH सार्वजनिक कुंजी होनी चाहिए, जो लक्ष्य उपयोगकर्ता में सही अनुमतियों के साथ हो ~/.ssh/authorized_keys।

मान्य पासवर्ड में आगे बताए गए crypt(3)आदमी पेज, लेकिन मूल रूप से करता है, तो में उपयोगकर्ता के 2 क्षेत्र /etc/shadowके साथ शुरू कुछ भी है $NUMBER$, यह शायद वैध है, और अगर यह *या !, यह अवैध है।

PAM खाता चेक मूल रूप से इसका मतलब है कि खाता समाप्त नहीं हुआ है। आप उपयोग करके देख सकते हैं chage -l USERNAME।

तो आपके सवालों के जवाब देने के लिए, मेरी जानकारी:

1. स्थापना विज़ार्ड के दौरान केवल रूट और आपके द्वारा बनाया गया खाता एक नई प्रणाली में लॉग इन कर सकता है
2. नहीं, क्योंकि www-dataपासवर्ड का हैशेड पासवर्ड है *और कोई ~www-data/.ssh/authorized_keysफ़ाइल नहीं है
3. कोई एकल सूची नहीं है, क्योंकि कई आवश्यकताएँ हैं, लेकिन एक विचार प्राप्त करने के लिए, आप दौड़ने का प्रयास कर सकते हैं grep -v '^[^:]*:[!*]:' /etc/shadow