/bin/bashSLES 11 SP 2에서는 webmin을 통해 많은 기본 사용자가 원칙적으로 SSH 셸에서 실행할 수 있는 설정을 가지고 있다는 사실을 발견했습니다 .
나는 그것을 가능한 보안 위험으로 간주합니다.
내 질문:
bin/falseSSH 연결을 비활성화하기 위해 아래 목록에 있는 모든 사용자에 대해 셸 설정을 안전하게 변경할 수 있습니까 ?
답변1
사용자의 로그인 셸을 /bin/false(또는 /bin/true또는/sbin/nologin 사용자 정의 메시지를 표시하는 데는 아주 사소한 이점이 있습니다.) su해당 사용자에게 중단됩니다. 일부 시스템 스크립트가 su.
아무 작업도 수행하지 않는 프로그램으로 사용자 쉘을 설정하는 것은 보안상 이점이 있습니다., 그러나 잘못된 구성으로 인해 사용자가 로그인할 수 있는 경우에만 해당됩니다. 시스템 사용자~해야 한다인증할 방법이 없습니다. 이 경우 쉘 설정은 중요하지 않습니다. 따라서 좋은 생각이지만 아무 것도 깨지지 않는 경우에만 가능합니다.
다른 방법으로 일부 사용자에 대한 SSH 액세스를 비활성화할 수 있습니다. DenyUsers에 지시문 을 추가하는 것입니다 /etc/sshd_config. 이렇게 하면 해당 사용자가 SSH를 통해 로그인하는 것을 방지할 수 있지만 다음과 같은 경우 다른 서비스를 통해 로그인하는 것을 방지할 수는 없습니다.저것서비스가 잘못 구성되었습니다.
계정 로그인을 차단하는 또 다른 방법은 다음과 같습니다.팸. 이 방법의 장점은 각 서비스에 대해 서로 다른 설정을 가질 수 있다는 것입니다. 예를 들어 허용 su(계정에 비밀번호가 없는 경우 루트에만 작동함)하고 다른 항목을 비활성화할 수 있습니다. 당신은 사용할 수 있습니다pam_access기준 치수특정 사용자를 거부합니다.
답변2
이러한 계정 셸을 로 변경하는 대신 SLES 11에 있는 경로 /bin/false로 변경하는 것이 좋습니다 ./sbin/nologinnologin