सुरक्षा कारणों से उपयोगकर्ता शेल अक्षम करें

हमारे पास कई उपयोगकर्ता खाते हैं जो हम स्वचालित कार्यों के लिए बनाते हैं जिनके लिए ठीक-ठाक अनुमतियों की आवश्यकता होती है, जैसे कि सिस्टम में फ़ाइल स्थानांतरण, निगरानी आदि।

हम इन उपयोगकर्ता खातों को कैसे लॉक करते हैं ताकि इन "उपयोगकर्ताओं" के पास कोई शेल न हो और लॉगिन करने में सक्षम न हों? हम इस संभावना को रोकना चाहते हैं कि कोई व्यक्ति इन उपयोगकर्ता खातों में से एक के रूप में एसएसएच कर सकता है।

आप usermodउपयोगकर्ता के लॉगिन शेल को बदलने के लिए कमांड का उपयोग कर सकते हैं ।

usermod -s /sbin/nologin myuser

या

usermod -s /usr/sbin/nologin myuser

यदि आपका OS / sbin / nologin प्रदान नहीं करता है, तो आप शेल को NOOP कमांड जैसे / बिन / गलत पर सेट कर सकते हैं:

usermod -s /bin/false myuser

लॉगिन शेल को बदलना जरूरी नहीं है कि उपयोगकर्ताओं को प्रमाणित करने से रोका जाए (कुछ सेवाओं को छोड़कर जो यह जांचते हैं कि उपयोगकर्ता के शेल का उल्लेख है /etc/shells)।

लोग अभी भी विभिन्न सेवाओं को प्रमाणित करने में सक्षम हो सकते हैं जो आपके सिस्टम को यूनिक्स उपयोगकर्ताओं को प्रदान करता है, और अभी भी कुछ कार्यों को करने के लिए अधिकृत किया जा सकता है, भले ही वे सीधे मनमाना आदेश न चलाएं।

शेल को बदलने /bin/falseया करने /usr/sbin/nologinसे केवल उन सेवाओं पर कमांड चलाने से रोका जा सकेगा जिनका उपयोग कमांड चलाने के लिए किया जा सकता है (कंसोल लॉगिन, ssh, telnet, rlogin, rexec ...), इसलिए केवल कुछ सेवाओं के लिए प्राधिकरण को प्रभावित करें ।

उदाहरण sshके लिए, यह अभी भी उन्हें पोर्ट अग्रेषण करने की अनुमति देता है।

passwd -lपासवर्ड प्रमाणीकरण अक्षम हो जाएगा, लेकिन उपयोगकर्ता अभी भी अन्य प्रमाणीकरण तरीकों (जैसे उपयोग करने के लिए अनुमति दी जा सकती authorized_keysसाथ ssh)।

साथ pamकम से कम लिनक्स पर, आप उपयोग कर सकते हैं pam_shellsएक की अनुमति दी खोल (उन में उल्लेख के साथ उपयोगकर्ताओं के लिए प्रमाणीकरण या प्राधिकरण को प्रतिबंधित करने के मॉड्यूल /etc/shells)। के लिए ssh, आप इसे अन्य प्रमाणीकरण विधियों (जैसे ) के अलावाaccount प्रमाणीकरण sshdउपयोग के लिए प्राधिकरण ( ) स्तर पर करना चाहेंगे , या आप इसे (जैसे और दोस्तों) में निर्देशों के साथ कर सकते हैं ।pam authorized_keyssshd_config/etc/ssh/sshd_configAllowUsers

हालांकि सावधान रहें कि वैश्विक पीएएम प्राधिकरण में कुछ प्रतिबंधों को जोड़ना संभवतः cronउन उपयोगकर्ताओं के रूप में नौकरियों को चलाने से रोक देगा ।

आप /etc/passwdफ़ाइल को संपादित करते हैं और उपयोगकर्ताओं के शेल को /bin/bashया से बदल /bin/shदेते हैं/sbin/nologin

सबसे पहले, पासवर्ड का उपयोग करके अक्षम करें passwd -l username।

विकल्प manके passwdलिए पृष्ठ पर भी ध्यान दें -l:

   -l, --lock
       Lock the password of the named account. This option disables a password by changing it to a value which matches no
       possible encrypted value (it adds a ´!´ at the beginning of the password).

       Note that this does not disable the account. The user may still be able to login using another authentication token
       (e.g. an SSH key). To disable the account, administrators should use usermod --expiredate 1 (this set the account's
       expire date to Jan 2, 1970).

       Users with a locked password are not allowed to change their password.

आप chsh कमांड का उपयोग कर सकते हैं:

~# chsh myuser

अनुरोध किए जाने पर नए शेल विवरण दर्ज करें:

Login Shell [/bin/sh]: /bin/nologin

या कम संस्करण:

~# chsh myuser -s /bin/nologin

उपयोगकर्ता को लॉगिंग से रोकने के लिए और यहां तक ​​कि ssh से अधिक प्रमाणीकरण जो पोर्ट फ़ॉरवर्डिंग को सक्षम बनाता है (जैसा कि यहां स्टीफन बताया गया है ), मैं उपयोगकर्ता को सिस्टम के nobodyउपयोगकर्ता के समान होने के लिए संशोधित करता हूं :

• /etc/shadow( उचित क्षेत्र में *या उसके साथ !!) अवरुद्ध पासवर्ड प्रमाणीकरण
• अक्षम शेल /etc/passwd(जैसे /sbin/nologinउचित क्षेत्र में)
• में केवल पढ़ने के लिए घर /etc/passwd(जैसे /उचित क्षेत्र में)