出于安全原因禁用用户外壳

我们为需要精细权限的自动化任务创建了多个用户帐户，例如跨系统的文件传输，监视等。

我们如何锁定这些用户帐户，以便这些“用户”没有外壳并且无法登录？我们希望避免有人可以以这些用户帐户之一的身份进行SSH登录的可能性。

您可以使用该usermod命令来更改用户的登录外壳。

usermod -s /sbin/nologin myuser

要么

usermod -s /usr/sbin/nologin myuser

如果您的操作系统不提供/ sbin / nologin，则可以将shell设置为NOOP命令，例如/ bin / false：

usermod -s /bin/false myuser

更改登录Shell并不一定会阻止用户进行身份验证（某些服务中会检查用户的Shell是否在中提到/etc/shells）。

人们可能仍然可以对您的系统提供给Unix用户的各种服务进行身份验证，并且即使没有直接运行任意命令，人们仍然可能被授权执行某些操作。

将shell更改为/bin/false或/usr/sbin/nologin将仅阻止它们在可用于运行命令的那些服务上运行命令（控制台登录，ssh，telnet，rlogin，rexec ...），因此仅影响某些服务的授权。

对于ssh例如，仍然允许他们做端口转发。

passwd -l将禁用密码身份验证，但仍然可以允许用户使用其他身份验证方法（例如authorized_keys与ssh）。

随着pamLinux上至少，你可以使用pam_shells模块来限制与允许的壳（中提到的那些在认证或授权的用户/etc/shells）。对于ssh，除了其他身份验证方法（如）外，您还需要在account身份验证sshd使用方面pam 在授权（）级别上进行操作authorized_keys，也可以使用中的sshd_config指令/etc/ssh/sshd_config（如AllowUsers和朋友）来进行操作。

请注意，在全局pam授权中添加一些限制可能会阻止cron以这些用户身份运行作业。

您编辑/etc/passwd文件，并将用户shell从/bin/bash或更改/bin/sh为/sbin/nologin

首先，使用禁用密码passwd -l username。

另请注意man页面中passwd的选项-l：

   -l, --lock
       Lock the password of the named account. This option disables a password by changing it to a value which matches no
       possible encrypted value (it adds a ´!´ at the beginning of the password).

       Note that this does not disable the account. The user may still be able to login using another authentication token
       (e.g. an SSH key). To disable the account, administrators should use usermod --expiredate 1 (this set the account's
       expire date to Jan 2, 1970).

       Users with a locked password are not allowed to change their password.

您可以使用chsh命令：

~# chsh myuser

根据要求输入新的外壳详细信息：

Login Shell [/bin/sh]: /bin/nologin

或更短的版本：

~# chsh myuser -s /bin/nologin

为了防止日志用户通过SSH甚至认证，使端口转发（如描述这里斯特凡），我修改用户是类似系统的nobody用户：

• 在/etc/shadow（带有*或!!位于适当字段中）阻止了密码身份验证
• 禁用外壳/etc/passwd（例如/sbin/nologin在适当的区域）
• 只读主目录/etc/passwd（例如/在适当的字段）