Как отключить пользователя?

0

2

Вопрос: как отключить пользователя в любом дистрибутиве Linux и FreeBSD? То есть сделать так, чтобы под пользователем был невозможен интерактивный вход и выполнение любого процесса.
Гугл советует писать "!" во второе поле /etc/shadow, я пробовал - да, этот способ делает невозможным интерактивный вход по паролю, но возможно войти через ssh по ключу и возможно (не пробовал) через bash-скрипт с установленым suid-битом. Задача совсем другая - отключить интерактивный вход вообще, но сохранить пароль, чтобы в будущем можно было пользователя включить обратно.
Если я в /etc/passwd добавлю ";" в начало строки это решит задачу? Я так понимаю это действие равносильно удалению пользователя из системы: не возможен будет ни интерактивный вход, ни запуск сервисов, настроеных работать с правами этого пользователя. Нужно отключить только интерактивный вход.

Ссылка

←	dnsmasq tftp из другой подсети

Nagios + xmpp

→

Закоментируй строку символом «#» либо в качестве командной оболочки поставить «/bin/false».

kostik87 ★★★★★
(21.04.16 09:37:34 MSK)

установить шел пользователю /bin/nologin или /bin/false

outsider ★★
(21.04.16 09:50:12 MSK)

Ссылка

Ответ на: комментарий от kostik87 21.04.16 09:37:34 MSK

Это ручным редактированием /etc/passwd делается или есть команда?

sunny1983 ★★★★★
(21.04.16 11:43:41 MSK) автор топика

Ответ на: комментарий от sunny1983 21.04.16 11:43:41 MSK

sudo chsh -s /bin/false user

~~MLP_Fan~~ ★★
(21.04.16 11:47:39 MSK)

Ответ на: комментарий от MLP_Fan 21.04.16 11:47:39 MSK

Для ценителей:

cp /etc/passwd /tmp/passwd && \
awk 'BEGIN {OFS=FS=":"} {if ($1 == "<username>") $7 = "/bin/false"} {print}' /tmp/passwd > /tmp/passwd_new &&\
cat /tmp/passwd_new &&\
sudo cp -i /tmp/passwd_new /etc/passwd

Deleted
(21.04.16 12:09:20 MSK)

Ссылка

чтобы под пользователем был невозможен интерактивный вход

сменить шелл на /bin/nologin

и выполнение любого процесса

а это невозможно, т. к. пользователь — это прежде всего его UID, а рут может запустить процесс под любым UID.

intelfx ★★★★★
(21.04.16 12:18:55 MSK)

Ответ на: комментарий от intelfx 21.04.16 12:18:55 MSK

а это невозможно, т. к. пользователь — это прежде всего его UID, а рут может запустить процесс под любым UID.

А если в /etc/passwd будет закомментирована строка с UID то невозможно?

sunny1983 ★★★★★
(21.04.16 13:43:37 MSK) автор топика

Ответ на: комментарий от sunny1983 21.04.16 13:43:37 MSK

Ядру начхать на passwd, поэтому «выполнение любого процесса» ты не запретишь.

Правильнее вести разговор о том, как запретить какому-то конкретному средству аутентификации собственно аутентифицировать кого-либо под именем этого пользователя.

Если речь идёт о PAM, то можно добавить во все файлы конфигурации PAM строчку с required pam_succeed_if.so user != тот-кого-запрещаем.

Если речь идёт о классической схеме с passwd/shadow, то можно дописать в начало хеша пароля символ, котого в этом хеше быть не может (например, восклицатель), но опять же рутовый процесс может сменить свой UID на «запрещённый» в любом случае, и никакой passwd/shadow ему не помеха. Пример — sshd и аутентификация по ключам.

Но если цель именно «заставить систему забыть про указанное классическое имя пользователя», то да, достаточно закомментить.

intelfx ★★★★★
(21.04.16 13:58:47 MSK)
Последнее исправление: intelfx 21.04.16 13:59:17 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от sunny1983 21.04.16 13:43:37 MSK

# sudo -u#1337 whoami
whoami: невозможно определить имя пользователя для ID 1337

То есть, от рута процесс запускается с произвольным UID, независимо от его наличия в /etc/passwd.

JaneDoe ★
(21.04.16 14:10:29 MSK)

Ссылка

usermod --expiredate 1 (man passwd)

anonymous
(21.04.16 14:28:06 MSK)

Ответ на: комментарий от intelfx 21.04.16 12:18:55 MSK

Если ты имеешь в виду /etc/pam.d - то там их более десятка.
Почему возник этот вопрос - нужно запретить предыдущему админу заходить а сервер, но на нём могут быть сервисы, корректно работающие только из-под этого пользователя.

sunny1983 ★★★★★
(21.04.16 15:20:53 MSK) автор топика

Ответ на: комментарий от sunny1983 21.04.16 15:20:53 MSK

Сменить шелл на nologin, убрать SSH-ключи, отключить пароль (восклицатель в начало хэша, ну или passwd --lock).

intelfx ★★★★★
(21.04.16 15:22:57 MSK)

Ответ на: комментарий от intelfx 21.04.16 15:22:57 MSK

OpenSSH кажется позволяет заблэклистить ключи не удаляя их?

sunny1983 ★★★★★
(21.04.16 15:43:37 MSK) автор топика

Ответ на: комментарий от anonymous 21.04.16 14:28:06 MSK

И происходит ровно нихрена полезного - везде в интерфейсе когда спрашивает пароль предлагает в качестве варианта этого типа отключенного пользователя. Задолбали.

Тож склоняюсь к варианту что тупо закомментить в passwd будет гораздо эффективнее.

anonymous
(21.04.16 17:20:47 MSK)

Ссылка

Ответ на: комментарий от sunny1983 21.04.16 15:43:37 MSK

Не важно. Каким-либо образом отключить.

intelfx ★★★★★
(21.04.16 18:21:43 MSK)

Ссылка

Ответ на: комментарий от sunny1983 21.04.16 15:20:53 MSK

но на нём могут быть сервисы, корректно работающие только из-под этого пользователя.

Поискать, изменить права, исправить конфиги, удалить пользователя - в голову не приходило? Не такая уж и сложная операция, скорее долгая, но не сложная.

anc ★★★★★
(22.04.16 01:09:23 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	dnsmasq tftp из другой подсети

Admin

Nagios + xmpp

→

Похожие темы