Comment autorisez-vous un utilisateur à se connecter à l'aide de " su - utilisateur " tout en l'empêchant de se connecter à l'aide de SSH?
J'ai essayé de définir le shell sur /bin/falsemais le quand je l'essaie sune fonctionne pas.
Existe-t-il plusieurs façons de n'autoriser que les connexions par su?
Est-ce que SSH est AllowUserla voie à suivre? (comment ferais-je si c'est la voie à suivre)
Réponses:
Vous pouvez utiliser AllowUsers / AllowGroups si seuls quelques utilisateurs / groupes sont autorisés à se connecter via ssh ou DenyUsers / DenyGroups si seuls quelques utilisateurs / groupes ne sont pas autorisés à se connecter. Notez que cela ne limite que la connexion via ssh, d'autres méthodes de connexion (console, ftp, ...) sont toujours possibles. Vous devez ajouter ces options à votre fichier / etc / ssh / sshd_config pour la plupart des installations ssh.
Si vous avez défini le shell de connexion sur / bin / false, vous pouvez utiliser su -s /bin/bash user(remplacez / bin / bash par le shell de votre choix)
su - -s /bin/bash user
Si un compte n'a pas de mot de passe (mot de passe passwd -d ), il ne peut pas se connecter de manière interactive (console, SSH, etc.). S'ils ont un shell valide, su fonctionnera toujours. Notez le "interactivement", cependant; si quelqu'un décide de configurer une paire de clés SSH pour le compte, cela fonctionnera!
comme d'autres l'ont dit;
DenyUser usernameou DenyGroup groupnamein sshd_configempêcherait la connexion clé / mot de passe via ssh.
Bien que je fasse habituellement quelque AllowGroup sshchose dans ce sens et que j'ajoute explicitement les personnes qui ont besoin d'un accès ssh à ce groupe.
alors, vous pouvez faire ce que les autres ont dit: passwd -d usernameeffacer le mot de passe des utilisateurs, afin qu'ils ne puissent pas se connecter à la console, ou d'une autre manière. ou mieux encore passwd -l usernamepour "verrouiller" le compte. il est possible que ssh refuse l'accès à un compte verrouillé, même avec des clés, mais je ne suis pas positif.
Comme je l'ai mentionné dans un commentaire, je pense que vous pouvez toujours créer un compte avec un shell non valide. Donc, si vous définissez le shell de l'utilisateur sur / dev / null ou quel que soit le shell de bin, vous devriez toujours pouvoir continuer à utiliser cet utilisateur ... mais toute tentative de connexion de quelque manière que ce soit vous fera quitter ...
éditez / etc / shadow en ajoutant! au début du hash du mot de passe.
username:!<hash>:#####:#:#####:#:::
Lors de la sécurisation d’une nouvelle installation, c’est la première chose que je fais après l’installation de sudo. Par conséquent, personne ne peut utiliser l’utilisateur root pour se connecter ou se connecter au système, les utilisateurs sudo peuvent toujours s’exécuter en tant qu’utilisateur root.
Ne spécifiez pas de mot de passe pour l'utilisateur non autorisé à se connecter ou à le supprimer.
# passwd -d myuser
En supposant que vous ne vouliez que su utilisateur à partir du compte root, et désactivez tous les autres accès:
Utilisez ceci (exécuté en tant que root):
usermod -e 1 -L user
Cela désactive la connexion par mot de passe (comme de nombreuses autres réponses l’a conseillé), mais le compte expire également . Vous ne pouvez pas vous connecter à un compte arrivé à expiration, par exemple avec des clés SSH. Vous pouvez toujours su user, bien qu'il affiche un avis que le compte a expiré.
Savoir quel mécanisme est le meilleur dépend des exigences. Si vous connaissez les exigences, vous pouvez choisir le mécanisme approprié. Toutes les réponses ci-dessus sont valables pour certaines exigences.
Voulez-vous seulement restreindre l'accès SSH? Avez-vous besoin d'un accès pour les méthodes mail ou ssh? L'accès est-il uniquement à partir de la racine?
su - userUn mot de passe sera requis pour l'utilisateur s'il est exécuté par un utilisateur autre que root. Cependant, sudo -u user -ine nécessite pas de mot de passe pour l'utilisateur.