/bin/bashSLES 11 SP 2 では、webmin を使用して、多くのデフォルト ユーザーが原則として SSH シェルで実行できるようにする設定を持っていることがわかりました。
私はそれがセキュリティ上のリスクになる可能性があると考えています。
私の質問:
bin/falseSSH 接続を無効にするために、以下のリストにあるすべてのユーザーに対してシェル設定を に安全に変更できますか?
答え1
ユーザーのログインシェルを/bin/false(または/bin/trueまたは/sbin/nologin これには、カスタムメッセージを表示するという非常に小さな利点があります) がsuそのユーザーに中断されます。一部のシステム スクリプトが を使用している可能性がありますsu。
ユーザーのシェルを何もしないプログラムに設定すると、セキュリティ上の利点があるただし、設定ミスによりユーザーがログインできる場合のみです。システムユーザーすべき認証する方法がない場合は、シェルの設定は関係ありません。したがって、何も壊さない場合に限り、これは良いアイデアです。
別の方法で、一部のユーザーのSSHアクセスを無効にすることもできます。にDenyUsersディレクティブを追加します/etc/sshd_config。これにより、これらのユーザーはSSH経由でログインできなくなりますが、別のサービス経由でのログインは防げません。それサービスが正しく構成されていません。
アカウントへのログインをブロックするもう一つの方法はパムこの方法の利点は、各サービスに異なる設定を行えることです。たとえば、許可su(アカウントにパスワードがない場合、ルートのみ有効)し、それ以外は無効にすることができます。pam_accessモジュール特定のユーザーを拒否します。
答え2
これらのアカウント シェルを に変更するのではなく、 またはSLES 11 上のパス/bin/falseに変更することをお勧めします。/sbin/nologinnologin