我们有一些通用 ID 用于 Linux 机器。最近我们决定将通用帐户锁定以禁止登录,人们将获得个人 ID(就审计而言,这始终是最好的选择)。问题是,我无法弄清楚这是否也会确保使用此通用 ID 的 scp 连接将开始失败?即使源服务器和目标服务器之间存在信任关系,也需要身份验证和授权(据我所知)。
有人能帮我弄清楚 scp 连接是否会受到影响吗?如果可以,我有什么其他选择可以确保即使没有人可以通过盒子上的通用 ID 登录,也可以建立 scp 连接。
谢谢,安库尔
答案1
我遇到过一种情况,我想让客户端以 scp 形式访问我的 Linux 机器,但别无他法。为了实现这一点,我在创建用户帐户时将其 shell 环境指定为 rssh 或 resticted shell。然后在 conf 文件(/etc/rssh.conf,记不清了)中,我关闭了除 scp 和/或 sftp 之外的所有连接。要关闭连接类型,只需用“#”注释掉该行即可。
谷歌搜索 rssh 你就可以找到你需要的正确包。
创建受限帐户:
$ useradd -m -d /home/username -s /usr/bin/rssh username
答案2
只是为了(有点)不同:外壳是一种惹恼别人的好方法...我的意思是,限制你的用户。
使用它,您可以限制某些用户或组只能使用 scp/sftp,和/或允许他们只运行少量 shell 命令。如果他们胆敢运行其他任何命令,他们会收到警告,并在输入未列出的命令超过 X 次后被踢出。:-)