Bagaimana Anda mengizinkan pengguna untuk masuk menggunakan " su - pengguna " tetapi mencegah pengguna dari masuk menggunakan SSH?
Saya mencoba mengatur shell /bin/falsetetapi ketika saya mencoba sutidak berhasil.
Apakah ada beberapa cara untuk hanya mengizinkan login su?
Apakah SSH adalah AllowUsercara untuk pergi? (Bagaimana saya melakukan ini jika itu cara untuk pergi)
Jawaban:
Anda dapat menggunakan AllowUsers / AllowGroups jika Anda hanya memiliki beberapa pengguna / grup yang diizinkan untuk masuk melalui ssh atau DenyUsers / DenyGroups jika Anda hanya memiliki beberapa pengguna / grup yang tidak diizinkan masuk. Perhatikan bahwa ini hanya membatasi login melalui ssh, cara masuk lainnya (konsol, ftp, ...) masih dimungkinkan. Anda perlu menambahkan opsi ini ke file / etc / ssh / sshd_config Anda untuk sebagian besar instalasi ssh.
Jika Anda telah mengatur shell login ke / bin / false Anda dapat menggunakan su -s /bin/bash user(ganti / bin / bash dengan shell pilihan Anda)
su - -s /bin/bash user
Jika sebuah akun tidak memiliki kata sandi ( passwd -d nama pengguna ), mereka tidak dapat masuk secara interaktif (konsol, SSH, dll.). Jika mereka memiliki shell yang valid, su masih akan berfungsi. Perhatikan "secara interaktif,"; jika seseorang memutuskan untuk mengatur keypair SSH untuk akun tersebut, itu akan berhasil!
seperti yang orang lain katakan;
DenyUser usernameatau DenyGroup groupnamedi sshd_configakan mencegah login keypair / kata sandi melalui ssh.
meskipun saya biasanya melakukan sesuatu seperti AllowGroup sshatau sesuatu di sepanjang garis itu, dan secara eksplisit menambahkan orang yang membutuhkan akses ssh ke grup itu.
kemudian, Anda dapat melakukan apa yang dikatakan orang lain: passwd -d usernameuntuk mengosongkan kata sandi pengguna, sehingga mereka tidak dapat masuk di konsol, atau dengan cara lain. atau lebih baik lagi passwd -l usernameuntuk 'mengunci' akun. mungkin ssh akan menolak akses ke akun yang terkunci, bahkan dengan kunci, tapi saya tidak positif.
Seperti yang saya sebutkan dalam komentar, saya pikir Anda masih dapat masuk ke akun dengan shell yang tidak valid. Jadi jika Anda mengatur shell pengguna ke / dev / null atau apa pun shell bin itu, Anda harus tetap su ke pengguna itu ... tetapi setiap upaya untuk masuk dengan cara apa pun akan menghentikan Anda kembali ...
edit / etc / shadow dengan menambahkan! ke awal kata sandi.
username:!<hash>:#####:#:#####:#:::
Ketika mengamankan instalasi baru, ini adalah hal pertama yang saya lakukan setelah menginstal sudo, jadi tidak ada yang dapat menggunakan pengguna root untuk login atau ssh ke dalam sistem, pengguna sudo masih dapat mengeksekusi sebagai pengguna root.
Jangan tentukan kata sandi untuk pengguna yang tidak diizinkan masuk atau menghapusnya.
# passwd -d myuser
Dengan asumsi Anda hanya ingin su pengguna dari akun root, dan nonaktifkan semua akses lainnya:
Gunakan ini (jalankan sebagai root):
usermod -e 1 -L user
Ini menonaktifkan login kata sandi (seperti yang disarankan oleh banyak jawaban lain), tetapi akun ini juga kedaluwarsa . Anda tidak dapat masuk ke akun yang kadaluarsa, misalnya dengan kunci SSH. Anda masih bisa su user, meskipun itu akan menampilkan pemberitahuan bahwa akun telah kedaluwarsa.
Mengetahui mekanisme mana yang terbaik tergantung pada persyaratan. Jika Anda mengetahui persyaratannya, Anda dapat memilih mekanisme yang sesuai. Semua jawaban di atas valid untuk beberapa set persyaratan.
Apakah Anda hanya ingin membatasi akses SSH? Apakah Anda memerlukan akses untuk metode surat atau ssh? Apakah akses hanya dari root?
su - userakan membutuhkan kata sandi untuk pengguna jika dijalankan menjadi pengguna selain root. Namun, sudo -u user -itidak memerlukan kata sandi untuk pengguna.