আমাদের বেশ কয়েকটি ব্যবহারকারীর অ্যাকাউন্ট রয়েছে যা আমরা স্বয়ংক্রিয় কর্মের জন্য তৈরি করি যার জন্য সূক্ষ্ম-দানযুক্ত অনুমতিগুলির দরকার হয়, যেমন সিস্টেমগুলির মধ্যে ফাইল স্থানান্তর, পর্যবেক্ষণ ইত্যাদি require
এই "ব্যবহারকারীর" কোনও শেল না থাকায় এবং লগইন করতে না পারার জন্য আমরা কীভাবে এই ব্যবহারকারীর অ্যাকাউন্টগুলিকে লক করব? আমরা এই ব্যবহারকারীর অ্যাকাউন্টগুলির মধ্যে একটি হিসাবে এসএসএইচ করতে পারে এমন সম্ভাবনাটি প্রতিরোধ করতে চাই।
উত্তর:
আপনি usermodব্যবহারকারীর লগইন শেল পরিবর্তন করতে কমান্ডটি ব্যবহার করতে পারেন ।
usermod -s /sbin/nologin myuserঅথবা
usermod -s /usr/sbin/nologin myuserযদি আপনার ওএস / sbin / nologin সরবরাহ না করে, আপনি শেলটি একটি NOOP কমান্ডে সেট করতে পারেন যেমন / বিন / মিথ্যা:
usermod -s /bin/false myusernologinআসলে এ পাওয়া যেতে হয়/usr/sbin/nologin
nologin
/usr/local/bin/maybeকোনটি /dev/urandomনির্বাচন করে। হতে পারে আমার এটি ব্যবহার করা উচিত: ডি
লগইন শেল পরিবর্তন করা অগত্যা ব্যবহারকারীদের সত্যায়িত হওয়া থেকে বিরত রাখে না (কিছু পরিষেবাদি যা ব্যবহারকারীর শেলের উল্লেখ রয়েছে কিনা তা যাচাই করে /etc/shells)।
লোকেরা এখনও আপনার সিস্টেম ইউনিক্স ব্যবহারকারীদের যে বিভিন্ন পরিষেবাদি সরবরাহ করে তার সাথে প্রমাণীকরণ করতে সক্ষম হতে পারে এবং সম্ভবত নির্বিচারে আদেশগুলি সরাসরি পরিচালনা না করেও কিছু ক্রিয়া সম্পাদনের জন্য অনুমোদিত হতে পারে।
শেল পরিবর্তন /bin/falseবা /usr/sbin/nologinশুধুমাত্র তাদের সেই পরিষেবাগুলি (কনসোল লগইন, SSH, Telnet rlogin, rexec ...) কমান্ড চালানোর জন্য ব্যবহার করা যেতে পারে যে কমান্ড চলমান থেকে বিরত হবে, তাই প্রভাবিত অনুমোদন শুধুমাত্র কিছু পরিষেবার জন্য।
জন্য sshউদাহরণস্বরূপ, যে এখনও তাদের পোর্ট ফরওয়ার্ড করার অনুমতি দিয়েছে।
passwd -lপাসওয়ার্ড প্রমাণীকরণ অক্ষম করবে, তবে ব্যবহারকারীর এখনও অন্য প্রমাণীকরণ পদ্ধতি (যেমন পছন্দ authorized_keysকরে ssh) ব্যবহার করার অনুমতি দেওয়া যেতে পারে ।
সঙ্গে pamঅন্তত লিনাক্স ব্যবহার করতে পারেন pam_shellsএকটি অনুমোদিত শেল (যাদের উল্লেখ ব্যবহারকারীদের প্রমাণীকরণের বা অনুমোদন সীমিত করতে মডিউল /etc/shells)। এর জন্য ssh, আপনি অন্যান্য অনুমোদন পদ্ধতি (যেমন ) এর পাশাপাশিaccount প্রমাণীকরণের sshdব্যবহার হিসাবে অনুমোদনের ( ) পর্যায়ে এটি করতে চাইবেন বা আপনি এটি (যেমন এবং বন্ধুদের) নির্দেশিকা দিয়ে করতে পারেন ।pam authorized_keyssshd_config/etc/ssh/sshd_configAllowUsers
সতর্কতা অবলম্বন করুন যে বিশ্বব্যাপী প্যাম অনুমোদনে কিছু বিধিনিষেধ যুক্ত cronকরা সেই ব্যবহারকারীদের হিসাবে চলমান চাকরিগুলি সম্ভাব্যরূপে প্রতিরোধ করবে ।
:|
আপনার সম্পাদনা /etc/passwdফাইল এবং পরিবর্তন ব্যবহারকারীদের কাছ থেকে শেল /bin/bash, অথবা /bin/shকরার/sbin/nologin
vipwভুল রয়েছে যা প্রতিরোধ করে preven
প্রথমে, পাসওয়ার্ডটি ব্যবহার করে অক্ষম করুন passwd -l username।
বিকল্পের জন্য manপৃষ্ঠাতেও নোট করুন :passwd-l
-l, --lock
Lock the password of the named account. This option disables a password by changing it to a value which matches no
possible encrypted value (it adds a ´!´ at the beginning of the password).
Note that this does not disable the account. The user may still be able to login using another authentication token
(e.g. an SSH key). To disable the account, administrators should use usermod --expiredate 1 (this set the account's
expire date to Jan 2, 1970).
Users with a locked password are not allowed to change their password.আপনি chsh কমান্ড ব্যবহার করতে পারেন:
~# chsh myuserঅনুরোধ করা হলে নতুন শেল বিশদ লিখুন:
Login Shell [/bin/sh]: /bin/nologinবা সংক্ষিপ্ত সংস্করণ:
~# chsh myuser -s /bin/nologinব্যবহারকারীকে ssh এর মাধ্যমে লগিং এবং এমনকী প্রমাণীকরণ থেকে আটকাতে পোর্ট ফরোয়ার্ডিং সক্ষম করে (যেমন স্টিফেন এখানে বর্ণিত হয়েছে ), আমি ব্যবহারকারীকে সিস্টেমের nobodyব্যবহারকারীর মতো হতে পারি :
/etc/shadow( যথাযথ ক্ষেত্রে *বা এর সাথে !!) অবরুদ্ধ পাসওয়ার্ড প্রমাণীকরণ/etc/passwd(যেমন /sbin/nologinসঠিক ক্ষেত্রে)/etc/passwd(উদাহরণস্বরূপ /উপযুক্ত ক্ষেত্রে)
/bin/falseচেয়ে বেশি প্রচলিত বলে মনে হয়/bin/true।