Отключить пользовательскую оболочку по соображениям безопасности

У нас есть несколько учетных записей, которые мы создаем для автоматизированных задач, требующих детальных разрешений, таких как передача файлов между системами, мониторинг и т. Д.

Как мы можем заблокировать эти учетные записи пользователей, чтобы эти «пользователи» не имели оболочки и не могли войти? Мы хотим предотвратить возможность того, что кто-то может использовать SSH в качестве одной из этих учетных записей пользователей.

Вы можете использовать usermodкоманду для изменения оболочки входа пользователя.

usermod -s /sbin/nologin myuser

или же

usermod -s /usr/sbin/nologin myuser

Если ваша ОС не предоставляет / sbin / nologin, вы можете установить оболочку для команды NOOP, например / bin / false:

usermod -s /bin/false myuser

Изменение оболочки входа не обязательно препятствует аутентификации пользователей (за исключением некоторых служб, которые проверяют, упоминается ли оболочка пользователя /etc/shells).

Люди по-прежнему могут проходить проверку подлинности в различных службах, которые ваша система предоставляет пользователям Unix, и могут по-прежнему иметь право выполнять некоторые действия, хотя, возможно, не выполняют произвольные команды напрямую.

Изменение оболочки на /bin/falseили /usr/sbin/nologinзапретит им запускать команды только в тех службах, которые можно использовать для запуска команд (вход в консоль, ssh, telnet, rlogin, rexec ...), поэтому влияет на авторизацию только для некоторых служб.

Для ssh, например, что по- прежнему позволяет им делать перенаправление портов.

passwd -lотключит аутентификацию по паролю, но пользователю все равно может быть разрешено использовать другие методы аутентификации (например, authorized_keysс ssh).

По pamкрайней мере, в Linux вы можете использовать pam_shellsмодуль для ограничения аутентификации или авторизации для пользователей с разрешенной оболочкой (упомянутой в /etc/shells). Для ssh, вы хотите сделать это при авторизации ( account) уровня , как для аутентификации sshdиспользования pam в дополнение к другим методам аутентификации (как authorized_keys), или вы можете сделать это с sshd_configдирективами /etc/ssh/sshd_config(как AllowUsersи друзей).

Однако следует помнить, что добавление некоторых ограничений в глобальную авторизацию pam может помешать запуску cronзаданий от имени этих пользователей.

Вы редактируете /etc/passwdфайл и меняете оболочку пользователя с /bin/bashили /bin/shна/sbin/nologin

Сначала отключите пароль, используя passwd -l username.

Также обратите внимание на manстранице passwdдля варианта -l:

   -l, --lock
       Lock the password of the named account. This option disables a password by changing it to a value which matches no
       possible encrypted value (it adds a ´!´ at the beginning of the password).

       Note that this does not disable the account. The user may still be able to login using another authentication token
       (e.g. an SSH key). To disable the account, administrators should use usermod --expiredate 1 (this set the account's
       expire date to Jan 2, 1970).

       Users with a locked password are not allowed to change their password.

Вы можете использовать команду chsh:

~# chsh myuser

Введите новые данные оболочки при запросе:

Login Shell [/bin/sh]: /bin/nologin

Или более короткая версия:

~# chsh myuser -s /bin/nologin

Чтобы запретить пользователю входить в систему и даже проходить аутентификацию через ssh, который включает переадресацию портов (как описано здесь, Стефан), я изменяю пользователя так, чтобы он был похож на nobodyпользователя системы :

• заблокирована аутентификация пароля в /etc/shadow(с *или !!в соответствующем поле)
• отключена оболочка /etc/passwd(например, /sbin/nologinв соответствующем поле)
• Домашний каталог только для чтения /etc/passwd(например, /в соответствующем поле)