使用 Samba 作为域控制器,我需要将 Windows 计算机添加为用户(在 中/etc/passwd
),并作为计算机添加到 Samba 数据库中。在/etc/passwd
文件中,我注意到大约一半的机器有一个 shell /bin/sh
,另一半有/bin/false
.
我希望它们全部都是/bin/false
,但前提是这是可以接受的,并且是推荐的方式。计算机帐户是否有任何安全或功能/bin/false
限制/bin/sh
?目前,我们在 Debian Wheezy 上使用 Samba 3。
下面是一组示例条目:
cla-teach-54$:x:1367:1386::/home/cla-teach-54$:/bin/sh
cla-teach-55$:x:1369:1388::/home/cla-teach-55$:/bin/sh
cla-teach-56$:x:1562:1583::/home/cla-teach-56$:/bin/sh
cla-teach-57$:x:1846:1864::/home/cla-teach-57$:/bin/false
cla-teach-58$:x:1948:1960::/home/cla-teach-58$:/bin/false
cla-teach-59$:x:1949:1961::/home/cla-teach-59$:/bin/false
(注意:主文件夹不存在)
答案1
将它们/bin/false
作为登录 shell 不仅可以接受,而且更好,否则有人实际上可以长时间登录系统并获得 shell 访问权限。
请记住传递-s /bin/false
给 useradd 将登录 shell 设置为/bin/false