Modalitati de a limita utilizatorii să se conecteze ubuntu
Având servere în centre de date sigure din Europa. Deschideți nor VPS server / VDS pe un SSD rapid în 1 minut!
Cel mai bun Web Hosting:
- va proteja datele împotriva accesului neautorizat într-un centru european de date securizat
- va plăti cel puțin în Bitcoin.
- Acesta va pune distribuție
- protecție împotriva atacurilor DDoS-
- gratuit de backup
- Uptime 99,9999%
- DPC - TIER III
- ISP - NIVELULUI I
Suport în 24/7/365 rusă lucra cu persoane juridice și persoane fizice. Ai nevoie de acum 24 de bază și 72 GB RAM. Vă rog!
Tarifele noastre competitive dovedesc că cele mai ieftine de găzduire pe care nu a știut!
O chestiune de minute, selectați configurația, să plătească și CMS pe un VPS este gata.
Bani Înapoi - 30 de zile!
Carduri bancare, moneda electronică prin intermediul unor terminale QIWI, Webmoney, PayPal, Novoplat și altele.
Pune o intrebare 24/7/365 Suport
Găsiți răspunsurile în baza noastră de date, și să respecte recomandările din
intrare
Partea principală a sistemului de administrare - pentru a configura și administra utilizatori și grupuri. Această sarcină include monitorizarea posibilităților de a avea acces la sistemul tuturor filialelor sale.
Aceste concepte sunt studiate pe Ubuntu 12.04 VPS, dar acțiunile datele pot fi rulate pe orice distro Linux moderne.
Este cunoscut faptul că unii dintre utilizatori pe server poate fi conectat la servicii, ci pentru că acestea nu sunt destinate a fi utilizate drept conturi regulate.
Acest ghid examinează mai multe modalități de a limita posibilitatea de a intra în sistemul de astfel de utilizatori.
Cum de a restricționa accesul folosind / etc / passwd
O modalitate de a limita posibilitatea de a intra - este de a cere înregistrarea contului shell semnificație specială.
Un exemplu în acest sens este utilizator «messagebus» în «/ etc / passwd» fișier:
mai puțin / etc / passwd | grep messagebus
messagebus: x: 102: 104 :: / var / run / dbus: / bin / false
Ultima valoare - este un shell sau de comandă care se execută în cazul unei conectări reușite. Cine este «/ bin / false».
Dacă vă conectați la contul dvs. messagebus listat ca root-utilizator, nimic nu se va întâmpla, pentru că trecerea la acest utilizator nu va funcționa:
sudo su messagebus
Încercați pentru a comuta la utilizator sshd:
sudo su sshd
Acest cont nu este disponibilă în prezent.
Această notificare apare deoarece teaca sshd utilizator plasat în «/ usr / sbin / nologin».
mai puțin / etc / passwd | grep sshd
sshd: x: 103: 65534 :: / var / run / sshd: / usr / sbin / nologin
Deci, cum să restricționeze utilizatorilor să se conecteze cu privire la utilizarea acestor metode?
Necesitatea de a utiliza «usermod» instrument care modifică valoarea coajă fictive legitime:
sudo usermod -s / usr / sbin / nologin nume de utilizator
Cum de a limita de intrare prin / etc / shadow
Un alt mod similar pentru a limita accesul - utilizarea «/ etc / shadow» fișier. Acest fișier conține parolele HASH fiecărui utilizator al sistemului.
sudo mai puțin / etc / shadow
root: $ 6 $ r79Dod3Y $ 3hi3QklpGEQMxwQGEss4ueNNPkoUrqUe3SwyAacaxl.Lmgq1r9i4mTblV1z6NfKMNXH1Cpnq.4iKhOiQd7Riy1: 15953: 0: 99999: 7.
daemon: *: 15455: 0: 99999: 7.
bin: *: 15455: 0: 99999: 7.
sys: *: 15455: 0: 99999: 7.
sincronizare: *: 15455: 0: 99999: 7.
jocuri: *: 15455: 0: 99999: 7.
om: *: 15455: 0: 99999: 7.
.
Al doilea câmp (care începe cu „$ 6 $ r79Dod3Y # 3 ...“ în prima linie) conține valoarea hash a parolei.
După cum se poate observa, în locul valorii hash registrul sistemului de contabilitate au un asterisc (*). Conturile cu un asterisc în al doilea câmp de parola nu a fost stabilită și nu pot fi înregistrate cu o parolă.
valoarea parolei poate fi dezactivat (ceea ce face, de fapt, egală cu valoarea „*“), înainte de a stabili valoarea trunchiată a punctului de exclamare (!).
Două instrumente pot bloca contul specificat.
comanda passwd poate fi blocat cu un «-l» pavilion și deblocat «-u» flag:
sudo passwd -l Utilizator
sudo mai puțin / etc / shadow | Nume utilizator grep
numele de utilizator $ 6 $ :! vpNJ3oFe $ 5GSh2aU2BDcpdjvQeNFzh0zTgyRUl26x4dn77mFE / vaoXwd19m7okX44jO8TWaVqNRL8vUVTAcZVmgUT8dR.4 :. 15953: 0: 99999: 7.
După cum se poate observa, parola întreruptă este păstrată, dar a devenit invalid din cauza caracterului. în fața lui.
sudo passwd -u nume de utilizator
operații similare pot fi efectuate cu ajutorul «usermod» echipa, care foloseste steaguri «-L» și «-U» pentru blocare și deblocare, respectiv.
sudo usermod Utilizator -L
sudo usermod Utilizator -U
Notă: Aceste metode pot bloca doar a accesa conturile utilizatorilor pe parolă, fără o parolă (de exemplu, ssh-chei) sunt încă în măsură să vă conectați posibilitatea sistemu.Rassmotrite de a folosi alte metode de blocare a unor astfel de conturi.
Cum de a limita de intrare prin / etc / nologin
Acest lucru se poate întâmpla datorită adâncimii de întreținere, sau pentru că unul sau mai multe conturi au fost piratat.
În orice caz, este ușor de făcut, prin crearea unui «/ etc / nologin» fișier:
sudo touch / etc / nologin
Această acțiune blochează orice utilizator care nu are privilegii de root.
fișier gol resetează pur și simplu utilizatorul înapoi la shell locale fără explicații.
Faptul că utilizatorul se întoarce pur și simplu conținutul fișierului. Dacă adăugați un mesaj de fișier, utilizatorii vor primi o explicație a erorilor de intrare:
sudo sh -c 'echo "Lucrări de întreținere planificate. Autentificare capabilități vor fi restaurate la 1545 UTC"> / etc / nologin'
Încercați să vă conectați cu o parolă, set de atunci mesajul va fi afișat:
ssh user @ host
parola de utilizator @ gazdă:
Lucrări de întreținere planificate. Autentificare capabilități vor fi restaurate la 1545 UTC
Conexiune închisă de către gazdă
Root-utilizator se poate conecta încă. Pentru a anula restricțiile de intrare, pur și simplu eliminați «/ etc / Nologin» fișier:
sudo rm / etc / nologin
Identificarea utilizatorilor Linux - zona foarte flexibil de management al sistemului, deoarece aceeași sarcină poate fi realizată folosind o varietate de instrumente simple.