在 SLES 11 SP 2 上,我透過 webmin 發現許多預設使用者的設定/bin/bash原則上允許他們在 SSH shell 中運行。
我認為這是一個可能的安全風險。
我的問題:
我可以安全地更改下面列出的所有使用者的 Shell 設定以bin/false停用任何 SSH 連線嗎?
答案1
請注意,將使用者的登入 shell 設定為/bin/false(或/bin/true或/sbin/nologin 它有一個非常小的好處,那就是顯示自訂訊息) 中斷su該用戶。某些系統腳本可能正在使用su.
將使用者的 shell 設定為不執行任何操作的程式是一種安全優勢,但前提是使用者由於配置錯誤而能夠登入。系統用戶應該無法進行身份驗證,在這種情況下 shell 設定並不重要。所以這是一個好主意,但前提是它不會破壞任何東西。
您可以透過另一種方式停用某些使用者的 SSH 存取:透過DenyUsers在/etc/sshd_config.這將阻止這些用戶透過 SSH 登錄,但不會阻止透過其他服務登錄,如果那服務配置錯誤。
阻止登入帳戶的另一種方法是透過聚丙烯醯胺。此方法的優點是您可以對每個服務進行不同的設置,例如允許su(如果帳戶沒有密碼,則僅適用於 root)並停用其他任何服務。您可以使用pam_access模組拒絕某些用戶。
答案2
/bin/false我建議您不要將這些帳戶 shell 更改為,而是將它們更改為 或SLES 11 上的/sbin/nologin任何路徑。nologin