Questions tagged «login»

登录过程:从登录提示,通过用户身份验证,到会话启动。



8
/ sbin / nologin和/ bin / false之间有什么区别
从技术上讲,除非pam您设置为不检查您的外壳,否则pam_shells,如果您不在外壳上,则这两种方法均无法阻止您的登录。在我的系统上,它们的大小甚至不同,因此我怀疑它们实际上在做什么。那有什么区别呢?他们为什么都存在?为什么我要一个使用另一个? -rwxr-xr-x 1 root root 21K Feb 4 17:01 /bin/false -rwxr-xr-x 1 root root 4.7K Mar 2 14:59 /sbin/nologin
169 shell  security  login 

8
获得root特权的最安全方法是:sudo,su或login?
即使我的非特权用户受到威胁,我也希望安全地拥有root帐户。 在Ubuntu上,默认情况下只能出于“安全原因”使用sudo。但是,我不确定它是否比在文本模式控制台上使用登录名更安全。如果攻击者可以以我的普通用户身份运行代码,则可能会出错。例如,添加别名,向我的PATH添加内容,设置LD_PRELOAD和X11键盘记录器,仅举几例。我唯一看到的好处是超时,因此我永远不会忘记注销。 我对su也有同样的疑问,但是它甚至没有时间限制。某些操作(尤其是IO重定向)对su更为方便,但是从安全角度而言,这似乎更糟。 在文本模式控制台上登录似乎是最安全的。由于它是由init启动的,因此如果攻击者可以控制PATH或LD_PRELOAD,则他已经是root。X上运行的程序无法拦截按键事件。我不知道X上运行的程序是否可以拦截[ctrl] + [alt] + [f1](并打开一个看起来像控制台的全屏窗口)或就像Windows上的[ctrl] + [alt] + [del]一样安全。除此之外,我看到的唯一问题是缺少超时。 那我想念什么吗?为什么Ubuntu家伙决定只允许sudo?如何提高任何一种方法的安全性? SSH呢?传统上,root用户无法通过SSH登录。但是使用上述逻辑并不是最安全的做法: 通过SSH允许root 切换到文字模式 以root身份登录 SSH到另一台机器 以root身份登录?
120 security  sudo  login  su  privileges 

7
在不禁用帐户的情况下禁用用户的登录
假设我使用adduser命令创建了一个名为“ bogus”的用户。在不禁用帐户的情况下,如何确定该用户将不是可行的登录选项。简而言之,我希望可以通过来访问该帐户su - bogus,但是我不希望通过常规的登录提示符来访问该帐户。 到处搜寻,似乎我需要禁用该用户的密码,但是这样passwd -d bogus做没有帮助。实际上,这使情况变得更糟,因为我现在无需输入密码就可以登录到虚假文件。 有没有一种方法可以禁用给定帐户的常规登录? 注意:请注意,我知道如何从图形登录屏幕(如gdm)的菜单选项中删除用户,但是这些方法只是隐藏了帐户,而没有实际禁用登录。我正在寻找一种完全禁用常规登录(包括文本模式)的方法。

8
/ usr / sbin / nologin作为登录shell是否出于安全目的?
在我的/etc/passwd文件中,我可以看到www-dataApache所使用的用户以及各种系统用户都具有/usr/sbin/nologin或/bin/false作为其登录外壳。例如,以下是几行: daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin games:x:5:60:games:/usr/games:/usr/sbin/nologin www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin syslog:x:101:104::/home/syslog:/bin/false whoopsie:x:109:116::/nonexistent:/bin/false mark:x:1000:1000:mark,,,:/home/mark:/bin/bash 因此,如果我尝试交换这些用户中的任何一个(有时我想检查我对他们的权限的了解,并且可能还有其他至少至少一半的理智的原因),则我将失败: mark@lunchbox:~$ sudo su www-data This account is currently not available. mark@lunchbox:~$ sudo su syslog mark@lunchbox:~$ 当然,这不算什么麻烦,因为我仍然可以通过这样的方法为他们启动外壳程序: mark@lunchbox:~$ sudo -u www-data /bin/bash www-data@lunchbox:~$ 但这让我想知道拒绝这些用户的登录外壳将达到什么目的。环顾互联网进行解释,许多人声称这与安全性有关,并且每个人似乎都同意更改这些用户的登录外壳在某种程度上是个坏主意。这是引号的集合: 将Apache用户的shell设置为非交互式通常是一种很好的安全做法(实际上,所有不必交互式登录的服务用户都应将其shell设置为非交互式)。 - https://serverfault.com/a/559315/147556 用户www-data的shell设置为/ usr / sbin / nologin,这是有充分理由的。 - https://askubuntu.com/a/486661/119754 [系统帐户] 可能是安全漏洞,尤其是在启用了外壳程序的情况下: 坏 bin:x:1:1:bin:/bin:/bin/sh 好 bin:x:1:1:bin:/bin:/sbin/nologin …
76 shell  security  users  login 



6
出于安全原因禁用用户外壳
我们为需要精细权限的自动化任务创建了多个用户帐户,例如跨系统的文件传输,监视等。 我们如何锁定这些用户帐户,以便这些“用户”没有外壳并且无法登录?我们希望避免有人可以以这些用户帐户之一的身份进行SSH登录的可能性。
58 shell  ssh  users  login 


6
将zsh设为没有root访问权限的默认shell
我正在使用学校的计算机,并且想使用zsh而不是bash。我想将其设置为默认外壳程序,但是$ chsh -s $(which zsh)由于我没有管理员权限,因此无法运行命令。 有什么办法可以放入我的.bashrc东西,或者zsh当它作为解决方法打开时会自动调用的东西吗? 澄清一下,zsh已经安装了。
52 bash  zsh  login  profile 

5
如何删除“您有邮件”的欢迎信息
当我打开终端时说“您有邮件”时,有人知道为什么吗?我正在运行OS X,但由于它也基于Unix,并且依赖于诸如bashrc,bash_profile等文件。我想这里的人可能知道,而且我不确定这是平台特定的问题!
39 bash  terminal  login  email 

5
当我的系统管理员拒绝让我更改它时,如何使用bash作为我的登录shell
Unix的系统管理员那里我的工作是不愿意给我访问我的登录shell从改变ksh到bash。他提供了各种借口,最有趣的是,因为他们编写了所有脚本,ksh因为如果我尝试运行它们,它们将无法工作。我不知道他从哪里得到这些想法,但是由于我无法说服他,我还有其他选择吗? (chsh已安装在这些计算机上,但是我们使用公共/专用密钥对进行登录,并且我没有任何密码,因此当chsh提示我输入密码时,我什么也没有提供。)
38 shell  login  profile 


5
为什么我的〜/ .bash_profile不起作用?
我正在使用Linux Mint。我的登录shell(cat /etc/passwd | grep myUserName)是bash。 在启动图形桌面环境并从中运行终端仿真器之后,我可以看到它.bash_profile不是源代码(其中设置的环境变量未export设置)。但是,如果我从一个文本控制台登录(ctrl+ alt+ F1)或手动运行bash -l从终端仿真器,.bash_profile工作正常。 我认为.bash_profile应该在X启动时export获取该资源并且从X运行的所有ed var应在终端中可用,我错了吗? PS将所有内容.bashrc放进去并从中购买.bash_profile不是一个好主意(https://stackoverflow.com/questions/902946/):环境材料应仅获得一次。
35 bash  shell  login  profile 

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.