SLES 11 SP 2에서는 webmin을 통해 원칙적으로 많은 기본 사용자 설정이 /bin/bashSSH 셸에서 실행되도록 허용한다는 사실을 발견했습니다.
나는 이것이 가능한 보안 위험이라고 생각합니다.
내 질문:
bin/falseSSH 연결을 비활성화 하기 위해 아래 나열된 모든 사용자의 셸 설정을 안전하게 변경할 수 있습니까 ?
답변1
사용자의 로그인 셸을 /bin/false( /bin/true또는/sbin/nologin 사용자 정의 메시지를 표시하는 이점은 매우 적습니다.) su사용자를 방해합니다. 일부 시스템 스크립트에서 이를 사용하고 있을 수 있습니다 su.
사용자의 쉘을 아무 작업도 수행하지 않는 프로그램으로 설정하는 것은 보안상 이점이 있습니다., 그러나 구성 오류로 인해 사용자가 로그인할 수 있는 경우에만 해당됩니다. 시스템 사용자~해야 한다인증이 불가능하며 이 경우 쉘 설정은 중요하지 않습니다. 따라서 좋은 생각이지만 아무 것도 깨지지 않는 경우에만 가능합니다.
특정 사용자에 대해 SSH 액세스를 비활성화할 수 있는 또 다른 방법이 있습니다: DenyUsersin 을 통해 /etc/sshd_config해당 사용자가 SSH를 통해 로그인하는 것을 방지하지만 다음과 같은 경우 다른 서비스를 통한 로그인을 방지하지는 않습니다.저것서비스 구성 오류입니다.
로그인 계정을 차단하는 또 다른 방법은 다음과 같습니다.폴리아크릴아미드. 이 방법의 장점은 허용 su(계정에 비밀번호가 없는 경우 루트에만 해당) 및 기타 서비스 비활성화와 같이 각 서비스에 대해 서로 다른 설정을 가질 수 있다는 것입니다. 당신은 그것을 사용할 수 있습니다pam_access기준 치수특정 사용자를 거부합니다.
답변2
/bin/false이러한 계정 셸을 SLES 11로 변경하지 말고 /sbin/nologinSLES 11의 경로로 변경하는 것이 좋습니다.nologin