在 SLES 11 SP 2 上,我通过 webmin 发现许多默认用户的设置/bin/bash原则上允许他们在 SSH shell 中运行。
我认为这是一个可能的安全风险。
我的问题:
我可以安全地更改下面列出的所有用户的 Shell 设置以bin/false禁用任何 SSH 连接吗?
答案1
请注意,将用户的登录 shell 设置为/bin/false(或/bin/true或/sbin/nologin 它有一个非常小的好处,那就是显示自定义消息) 中断su该用户。某些系统脚本可能正在使用su.
将用户的 shell 设置为不执行任何操作的程序是一种安全优势,但前提是用户由于配置错误而能够登录。系统用户应该无法进行身份验证,在这种情况下 shell 设置并不重要。所以这是一个好主意,但前提是它不会破坏任何东西。
您可以通过另一种方式禁用某些用户的 SSH 访问:通过DenyUsers在/etc/sshd_config.这将阻止这些用户通过 SSH 登录,但不会阻止通过其他服务登录,如果那服务配置错误。
阻止登录帐户的另一种方法是通过聚丙烯酰胺。此方法的优点是您可以对每个服务进行不同的设置,例如允许su(如果帐户没有密码,则仅适用于 root)并禁用其他任何服务。您可以使用pam_access模块拒绝某些用户。
答案2
/bin/false我建议您不要将这些帐户 shell 更改为,而是将它们更改为 或SLES 11 上的/sbin/nologin任何路径。nologin