GNU/Linux >> Znalost Linux >  >> Linux

Kteří uživatelé se mohou standardně přihlašovat přes SSH?

Paradeepchhetri není úplně správný.

Neupravený sshd_config Debianu má následující:

PubkeyAuthentication yes
PermitEmptyPasswords no
UsePAM yes

Přihlášení přes ssh by tedy fungovalo pouze pro uživatele, kteří mají vyplněné pole hesla v /etc/shadow nebo ssh klíč v ~/.ssh/authorized_keys . Všimněte si, že výchozí hodnota pro PubkeyAuthentication je yes a pro PermitEmptyPasswords je no , takže i když je odstraníte, chování bude stejné.

V příkladu otázky www-data ve výchozím nastavení se nebude moci přihlásit, protože instalační program Debianu nepřiděluje heslo ani nevytváří klíč pro www-data .

pam_access , AllowUsers a AllowGroups v sshd_config lze použít pro jemnější ovládání, pokud je to potřeba. V Debianu se důrazně doporučuje UsePAM .


Ve výchozím nastavení je přihlášení povoleno pro všechny uživatele v Debianu.

Můžete to změnit tak, že povolíte určitým uživatelům, aby se mohli přihlásit úpravou /etc/ssh/sshd_config soubor.

Jak je uvedeno v manuálové stránce sshd_config.

AllowUsers

Za tímto klíčovým slovem může následovat seznam vzorů uživatelských jmen oddělených
prostory. Pokud je zadáno, přihlášení je povoleno pouze pro uživatelská jména, která odpovídají jednomu ze vzorů. Platná jsou pouze uživatelská jména; číselné uživatelské ID není
uznáno. Ve výchozím nastavení je přihlášení povoleno pro všechny uživatele. Pokud má vzor tvar example@unixlinux.online pak USER a HOST jsou samostatně kontrolovány, což omezuje přihlášení na konkrétní uživatele z konkrétních hostitelů. Příkazy allow/denydirectives se zpracovávají v následujícím pořadí:DenyUsers , AllowUsers ,DenyGroup a nakonec AllowGroups .


Ve výchozím nastavení SSH server není ani nainstalován. Museli byste nainstalovat openssh-server balíček dříve, než mohl kdokoli vstoupit SSH.

Poté musí každý uživatel projít dvěma kontrolami:

  • Ověření SSH
  • Kontroly účtu PAM

Ověření SSH znamená, že buď uživatel musí mít platné heslo v /etc/shadow nebo mají platný veřejný klíč SSH se správnými oprávněními v ~/.ssh/authorized_keys cílového uživatele .

Platná hesla jsou dále popsána v crypt(3) manuálová stránka, ale v zásadě jako 2. pole uživatele v /etc/shadow je cokoliv začínající $NUMBER$ , je pravděpodobně platný, a pokud je * nebo ! , je neplatný.

Kontrola účtu PAM v podstatě znamená, že platnost účtu nevypršela. Můžete to zkontrolovat pomocí chage -l USERNAME .

Takže abych odpověděl na vaše otázky, pokud vím:

  1. Do nového systému se může přihlásit pouze uživatel root a účet, který vytvoříte během průvodce instalací
  2. Ne, protože www-data má hashované heslo * a neexistuje žádné ~www-data/.ssh/authorized_keys soubor
  3. Neexistuje jediný seznam, protože existuje více požadavků, ale pro představu můžete zkusit spustit grep -v '^[^:]*:[!*]:' /etc/shadow

Linux

  1. Zabijte všechny procesy konkrétního uživatele přes SSH

  2. Přidejte nového uživatele WordPress

  3. Zakažte přímé přihlášení roota a uživatelský přístup přes SSH k serveru

  1. 20 Soubory protokolu Linux, které jsou umístěny v adresáři /var/log

  2. Kali výchozí uživatel bez root

  3. Jak přimět ssh, aby se přihlásil jako správný uživatel?

  1. Správa uživatelů Linuxu a skupin Linuxu

  2. Chcete-li vědět, která IP provedla určitý příkaz v linuxu pomocí ssh

  3. Jak změnit výchozího uživatele (ubuntu) přes CloudInit na AWS