Каким пользователям разрешено регистрироваться через SSH по умолчанию?

  1. Когда я настраивал свой Debian 6, мне было интересно, какие пользователи, кроме root, пароль которого я знаю, могут войти в мою систему через SSH?

  2. Когда я устанавливаю Apache 2, создается пользователь с именем www-data. Имеет ли этот пользователь право войти в мою систему через SSH? Но если бы был какой-то пароль по умолчанию для www-данных, которые могли бы войти в систему, мне кажется маловероятным.

  3. Swap: лучше создать выделенный раздел подкачки или создать файл подкачки?
  4. Необходимо запускать partprobe при каждой загрузке
  5. Головоломка: передача файлов между двумя серверами (ssh, ftp, http multipart ...)
  6. Если я вырасту раздел ext4, увеличит ли количество доступных inodes?
  7. ограничивать пользователя только одной командой: «su -»
  8. Как я могу эмулировать аппаратное обеспечение N900? (armel, OMAP3)
  9. Где у меня есть список, которому пользователи могут войти в мою систему через SSH? Не удается найти что-либо в файлах конфигурации ssh.

  • Я только что создал гибрид Debian / Kali? И я должен волноваться?
  • изменить параметры по умолчанию epson xp211 в чашках
  • Как отключить DHCP (статический IP-адрес)?
  • Sshd_config TPCKeepAlive по-прежнему использует незашифрованный канал и, следовательно, уязвим
  • Настройка и тестирование Freeradius на debian
  • Как ограничить SSH-ключ определенными IP-адресами?
  • 3 Solutions collect form web for “Каким пользователям разрешено регистрироваться через SSH по умолчанию?”

    Парадепечетри не совсем корректен.

    Немодифицированный sshd_config Debian имеет следующее:

     PubkeyAuthentication yes PermitEmptyPasswords no UsePAM yes 

    Таким образом, вход через ssh будет работать только для пользователей, у которых есть заполненное поле пароля в /etc/shadow или ssh-ключ в ~/.ssh/authorized_keys . Обратите внимание, что значением по умолчанию для PubkeyAuthentication является yes а для PermitEmptyPasswords no , поэтому даже если вы удалите их, поведение будет таким же.

    В примере вопроса www-data по умолчанию не может войти в систему, поскольку установщик Debian не назначает пароль и не создает ключ для www-data .

    pam_access , AllowUsers и AllowGroups в sshd_config могут использоваться для более тонкого управления, если это необходимо. В Debian настоятельно рекомендуется UsePAM .

    По умолчанию вход разрешен для всех пользователей в Debian.

    Вы можете изменить его, разрешив определенным пользователям войти в систему, отредактировав файл /etc/ssh/sshd_config .

    Как упоминалось в man-странице sshd_config.

    AllowUsers

    За этим ключевым словом может следовать список шаблонов имен пользователей, разделенных
    пространства. Если указано, вход разрешен только для имен пользователей, соответствующих одному из шаблонов. Действительны только имена пользователей; числовой идентификатор пользователя не является
    распознан. По умолчанию вход для всех пользователей разрешен. Если шаблон принимает форму USER@HOST то USER и HOST проверяются отдельно, ограничивая логины для определенных пользователей с определенных хостов. Директивы allow / deny обрабатываются в следующем порядке: DenyUsers , AllowUsers , DenyGroup и, наконец, AllowGroups .

    По умолчанию SSH server даже не установлен. Вам нужно будет установить пакет openssh-server , прежде чем кто-нибудь сможет использовать SSH.

    После этого любой пользователь должен пройти две проверки:

    • SSH-аутентификация
    • Проверка учетной записи PAM

    SSH-аутентификация означает, что либо пользователь должен иметь действующий пароль в /etc/shadow либо у них есть действительный открытый ключ SSH с правильными разрешениями в ~/.ssh/authorized_keys целевого пользователя.

    Действующие пароли описаны далее в man-странице crypt(3) , но в основном, если второе поле пользователя в /etc/shadow – это что-то, начинающееся с $NUMBER$ , вероятно, оно действительно, и если это * или ! , это неверно.

    Проверка учетной записи PAM в основном означает, что счет не истек. Вы можете проверить это, используя chage -l USERNAME .

    Чтобы ответить на ваши вопросы, насколько мне известно:

    1. Только root и учетная запись, которую вы создаете во время установки, можете войти в новую систему
    2. Нет, потому что www-data имеет хешированный пароль * и не существует файла ~www-data/.ssh/authorized_keys
    3. Нет единого списка, потому что есть несколько требований, но чтобы получить представление, вы можете попробовать запустить grep -v '^[^:]*:[!*]:' /etc/shadow
    Linux и Unix - лучшая ОС в мире.