আমি কীভাবে কোনও অ্যাকাউন্ট পুরোপুরি অক্ষম করব?


48

আমি কীভাবে কোনও অ্যাকাউন্ট পুরোপুরি অক্ষম করব? passwd -lকাউকে পাসওয়ার্ড ব্যবহার করে অ্যাকাউন্টে লগ ইন করতে দেবে না তবে আপনি ব্যক্তিগত / পাবলিক কীগুলির মাধ্যমে লগ ইন করতে পারেন। আমি কীভাবে অ্যাকাউন্টটি সম্পূর্ণ অক্ষম করব? একটি কুইকফিক্স হিসাবে আমি ফাইলটির নামকরণ করেছি authorized_keys_lockme। অন্য উপায় আছে?


3
আপনি কি শেষ পর্যন্ত এটি পুনরায় সক্ষম করার পরিকল্পনা করছেন? সিস্টেম লকডাউন? যদি তা না হয় তবে আমি কেবল অ্যাকাউন্টটি সরিয়ে ফেলতাম।
কেন

উত্তর:


59

সঠিক পদ্ধতি অনুসারে usermod(8):

usermod --lock --expiredate 1970-01-02 <username>

(আসলে, যুক্তিটি --expiredateফর্ম্যাটটিতে বর্তমান তারিখের আগে কোনও তারিখ হতে পারে YYYY-MM-DD))


ব্যাখ্যা:

  • --lockব্যবহারকারীর পাসওয়ার্ড লক করে। তবে অন্যান্য পদ্ধতিতে (যেমন জনসাধারণের কী) লগইন করা এখনও সম্ভব।

  • --expiredate YYYY-MM-DDনির্দিষ্ট তারিখে অ্যাকাউন্টটি অক্ষম করে। man shadow 51970-01-01 অনুসারে একটি অস্পষ্ট মান এবং এটি ব্যবহার করা হবে না।

আমি আমার মেশিনে এটি পরীক্ষা করেছি। এই কমান্ডটি কার্যকর করার পরে পাসওয়ার্ড বা পাবলিক কী দিয়ে লগইন করা সম্ভব নয়।


পরবর্তী তারিখে অ্যাকাউন্টটি পুনরায় সক্ষম করতে আপনি চালাতে পারেন:

usermod --unlock --expiredate '' <username>

7
1970-01-01 ব্যবহার করবেন না কারণ এটি / ইত্যাদি / ছায়া সমাপ্তির ক্ষেত্রটি 0 তে নির্ধারণ করে জানুয়ারী 1, 1970. দয়া করে ব্যবহার করুন: ইউজারমড - লক
মার্কাস ম্যাক্সওয়েল

4
আপনি যদি এই অপারেশনটি বিপরীত করার পদ্ধতিটিও সরবরাহ করতে পারেন তবে দুর্দান্ত হবে। দেখে মনে হচ্ছে usermod --unlock --expiredate '' usernameএটি করবে।
বব

3
@ মার্কাস ম্যাক্সওয়েল লিখেছেন তাতে যোগ করে: ম্যান পেজটি usermodবলেছেন:Note: if you wish to lock the account (not only access with a password), you should also set the EXPIRE_DATE to 1.
জিরো 3

1
কেন --expiredate 1নিজেরাই যথেষ্ট নয়?
টমাস জেনসেন

তবে sudo su usernameঅন্য অ্যাকাউন্ট ব্যবহার করে কাজ করছে বলে মনে হচ্ছে।
xuhdev

10

পাসওয়ার্ডটি লক করুন এবং শেলটি এতে পরিবর্তন করুন /bin/nologin

sudo usermod --lock --shell /bin/nologin username

(বা আরও সংক্ষিপ্তভাবে sudo usermod -L -s /bin/nologin username,।)


আমি কীভাবে শেলটিকে / বিন / নোলোগিনে পরিবর্তন করব?

5
@ ম্যাটডেম এটি কোনও সম্পূর্ণ সমাধান নয়, কারণ ব্যবহারকারী এখনও কার্যকর করার জন্য একটি কমান্ড নির্দিষ্ট করতে পারে। উদাহরণস্বরূপ ssh username@hostname /bin/bash, ডিফল্ট শেল নির্বিশেষে ব্যবহারকারীকে বাশ প্রম্পট দেবে।
ফুনেহে

4
@ ফুনেহে - আপনি কি চেষ্টা করেছেন? লগ-এ আপনি পাবেন, "ব্যবহারকারীর [ব্যবহারকারীর নাম] অনুমোদিত নয় কারণ শেল / বিন / নোলগিনের অস্তিত্ব নেই"।
mattdm

2
আমি যতদূর জানি, অবৈধ-শেল আচরণটি আসলে নথিভুক্ত নয়। অন্যদিকে, ম্যান পেজটি বলে যে পাসওয়ার্ডটি যদি একটি শীর্ষস্থানীয় থাকে !! লিনাক্সে অ্যাকাউন্টটি লক হিসাবে গণ্য হবে এবং এটি আসলে কাজ করে না। সুতরাং, আপনি জানেন, ডকুমেন্টেশন এবং বাস্তবতা যাইহোক কেবলমাত্র আনুমানিক মিল। :)
ম্যাটডেম

2
sudo chsh -s /bin/nologin/etc/passwdহাত দিয়ে সম্পাদনা করার চেয়ে ভাল হবে । এছাড়াও, কিছু সিস্টেমে, এটি /sbin/nologin
মাইকেল

3

এখানে আরও একটি সহজ উপায়। আপনি ব্যবহারকারীর অ্যাকাউন্টের মেয়াদ শেষ হয়ে যেতে পারেন। এটি অ্যাকাউন্টের জন্য পাসওয়ার্ড-ভিত্তিক এবং ssh কী-ভিত্তিক লগইন উভয়কে আটকাবে, তবে পাসওয়ার্ডটি স্পর্শ করবে না

অ্যাকাউন্টটি লক করতে:

# chage -E 0 username

ব্যবহারকারী অ্যাকাউন্ট 'ব্যবহারকারীর নাম' সিস্টেমে লক আউট হবে। ব্যবহারকারীর অ্যাকাউন্টটি পুনরায় সক্ষম করতে নিম্নলিখিতগুলি করুন।

অ্যাকাউন্টটি আনলক করতে:

# chage -E -1 username

ব্যবহারকারী অ্যাকাউন্ট 'ব্যবহারকারীর নাম' আগের সিস্টেমে একই পাসওয়ার্ড সহ আপনার সিস্টেমে পুনরায় সক্ষম হবে । 'চেজ' বাইনারি হ'ল রেড হ্যাট লিনাক্সের শ্যাডো-ইউস প্যাকেজ, বা ডেবিয়ান লিনাক্সের পাসডউইড প্যাকেজের অংশ।


3

লেগেটের উত্তরের বিষয়ে মন্তব্য করার মতো পর্যাপ্ত প্রতিবেদন আমার কাছে নেই, তবে আমি এটি ভাগ করে নিতে চেয়েছিলাম যে এই উত্তর আমাদের অন্য ব্যবহারের ক্ষেত্রে সহায়তা করেছে:

১) প্রশ্নে থাকা অ্যাকাউন্টটি কোনও স্থানীয় পরিষেবা অ্যাকাউন্ট যা কোনও অ্যাপ্লিকেশন চালায়, শেষ ব্যবহারকারী অ্যাকাউন্ট নয়।

২) শেষ ব্যবহারকারীরা তাদের নিজের মতো করে প্রেরণে এবং sudo /bin/su <user>অ্যাকাউন্টে সরাসরি লগইন করার ক্ষমতা থাকতে পারে না এমন একটি নিরীক্ষণের প্রয়োজনীয়তার কারণে ব্যবহারকারী হয়ে ওঠার জন্য এবং অ্যাপ্লিকেশন পরিচালনা করতে।

৩) পরিষেবা অ্যাকাউন্টে অবশ্যই একটি বৈধ শেল থাকতে হবে ( /bin/bashনা /sbin/nologin), কারণ একটি এন্টারপ্রাইজ শিডিউলিং প্ল্যাটফর্ম (এজেন্ট স্থানীয়ভাবে রুট হিসাবে চালিত হয়) অবশ্যই একটি পূর্ণ শেল করার su - <user>মতো su -s /bin/bash <user>ক্ষমতা অর্জন করতে সক্ষম হবে না এবং এটি অবশ্যই দূরবর্তীভাবে কাজ চালানোর জন্য প্রয়োজনীয় বৃহত্তর ব্যাচ ক্রিয়াকলাপের জন্য যা একাধিক সার্ভার এবং ডেটাবেসকে অন্তর্ভুক্ত করে।


সুতরাং ...

passwd -l <user>
সীমাবদ্ধতাগুলি পূরণ করে না কারণ পাবলিক কী প্রমাণীকরণ PAM কে বাইপাস করে এবং এখনও সরাসরি লগইনকে অনুমতি দেয়।

usermod -s /sbin/nologin <user>
এন্টারপ্রাইজ শিডিয়ুলারকে সীমাবদ্ধ করে কারণ সীমাবদ্ধতাগুলি পূরণ করে না

usermod --lock --expiredate 1970-01-01 <user>
এই আমাদের বিজয়ী। রিমোট লগইন অক্ষম করা হয়েছে, তবুও রুট এখনও su <user>করতে পারে, অন্য ব্যবহারকারীরা যেমন sudoশিডিয়ুলার সঠিকভাবে কাজ করে এবং অনুমোদিত শেষ ব্যবহারকারীরা প্রয়োজন মতো টার্গেট পরিষেবা অ্যাকাউন্টে পরিণত হতে পারে।

সমাধানের জন্য আপনাকে ধন্যবাদ!


1

সম্পূর্ণরূপে মুছতে এটি ব্যবহার করে userdel

দয়া করে নোট করুন যে আপনি যদি কোনও অ্যাকাউন্ট মুছে ফেলেন তবে এমন ঝুঁকি রয়েছে যে এর ব্যবহারকারীর আইডিটি অন্য কোথাও ফাইল সিস্টেমে ব্যবহৃত হবে এবং যদি কোনও নতুন ব্যবহারকারীর সেই ফাইলগুলির মালিকানা হ'ল যদি এটি একই ব্যবহারকারী আইডির অধীনে আসে।

আপনি মুছে ফেলা ব্যবহারকারীর মালিকানাধীন যে কোনও ফাইলের মালিক পরিবর্তন করতে চান।

আপনি যদি পরে ব্যবহারকারীকে যুক্ত করতে চান তবে অস্থায়ী ফাইলগুলিতে /etc/passwd(এবং সোলারিসে /etc/shadow) এর লাইনগুলি সংরক্ষণ করুন /etc/passwd_deleted

আপনি যখন এটি আবার যুক্ত করবেন তখন আপনি একই ব্যবহারকারীর আইডি এবং একই পাসওয়ার্ড ব্যবহার করতে পারেন (যা উপরের ফাইলগুলির মধ্যে একটিতে এনক্রিপ্ট করা আছে)

দাবি অস্বীকার: আমি নিজে থেকে ইউনিক্স শিখেছি তাই যদি সাময়িকভাবে ব্যবহারকারীকে অক্ষম করার আরও ভাল উপায় থাকে তবে আমি অবাক হব না। আসলে আপনি কী ব্যক্তিগত / পাবলিক কীগুলি সম্পর্কে কথা বলছেন তা আমি জানি না। এছাড়াও আমি নিশ্চিত যে এখানে একটি findকমান্ড রয়েছে যা সেই মালিক ইউজারিডের সাথে ফাইলগুলি সন্ধান করার জন্য ব্যবহার করা যেতে পারে


1
গুগল অনুমোদিত_কি বা এই eng.cam.ac.uk/help/jpmg/ssh/authorised_keys_howto.html মূলত একটি পাসওয়ার্ড ব্যবহার না করে আপনি সেই ফাইলটিতে নিজের পাবলুক কীটি রেখেছেন এবং যখন আপনি এসএসএসের সাথে সংযুক্ত হন তখন আপনি স্বয়ংক্রিয়ভাবে লগ ইন হয়ে যাবেন যদি জনসাধারণের মধ্যে কেউ আপনার বর্তমান ব্যক্তিগত কী

0

কেউ কি ssh_config এর মাধ্যমে করার চেষ্টা করেছে? হতে পারে এটি http://www.techrepublic.com/blog/opensource/set-up-user-accounts-quickly-and-securely/86 কে সহায়তা করতে পারে

এছাড়াও, নিশ্চিত করুন যে সমস্ত লগইনগুলিকে জনসাধারণের কীগুলি ব্যবহার করতে বাধ্য করার জন্য পাসওয়ার্ডঅথেন্টিকেশনটিও সেট করা নেই।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.