Каким пользователям разрешено регистрироваться через SSH по умолчанию?

  1. Когда я настраивал свой Debian 6, мне было интересно, какие пользователи, кроме root, пароль которого я знаю, могут войти в мою систему через SSH?

  2. Когда я устанавливаю Apache 2, создается пользователь с именем www-data. Имеет ли этот пользователь право войти в мою систему через SSH? Но если бы был какой-то пароль по умолчанию для www-данных, которые могли бы войти в систему, мне кажется маловероятным.

  3. Где у меня есть список, которому пользователи могут войти в мою систему через SSH? Не удается найти что-либо в файлах конфигурации ssh.

  • Потрясающее поведение счетчика SSH / SCP
  • Почему бы просто не использовать% h в опции OpenSPH ssh ControlPath?
  • Как я могу защитить эти два сценария, используемые в SSH authorized_keys дальше?
  • libpam загружать модули pam при каждом соединении
  • Если ssh-add будет тихим, если ключ уже есть
  • Выполнение сценария оболочки с удаленного сервера на локальной машине
  • Используйте X на промежуточной машине
  • SSH дважды и запустить команду, экранируя символ?
  • 3 Solutions collect form web for “Каким пользователям разрешено регистрироваться через SSH по умолчанию?”

    Парадепечетри не совсем корректен.

    Немодифицированный sshd_config Debian имеет следующее:

     PubkeyAuthentication yes PermitEmptyPasswords no UsePAM yes 

    Таким образом, вход через ssh будет работать только для пользователей, у которых есть заполненное поле пароля в /etc/shadow или ssh-ключ в ~/.ssh/authorized_keys . Обратите внимание, что значением по умолчанию для PubkeyAuthentication является yes а для PermitEmptyPasswords no , поэтому даже если вы удалите их, поведение будет таким же.

    В примере вопроса www-data по умолчанию не может войти в систему, поскольку установщик Debian не назначает пароль и не создает ключ для www-data .

    pam_access , AllowUsers и AllowGroups в sshd_config могут использоваться для более тонкого управления, если это необходимо. В Debian настоятельно рекомендуется UsePAM .

    По умолчанию вход разрешен для всех пользователей в Debian.

    Вы можете изменить его, разрешив определенным пользователям войти в систему, отредактировав файл /etc/ssh/sshd_config .

    Как упоминалось в man-странице sshd_config.

    AllowUsers

    За этим ключевым словом может следовать список шаблонов имен пользователей, разделенных
    пространства. Если указано, вход разрешен только для имен пользователей, соответствующих одному из шаблонов. Действительны только имена пользователей; числовой идентификатор пользователя не является
    распознан. По умолчанию вход для всех пользователей разрешен. Если шаблон принимает форму USER@HOST то USER и HOST проверяются отдельно, ограничивая логины для определенных пользователей с определенных хостов. Директивы allow / deny обрабатываются в следующем порядке: DenyUsers , AllowUsers , DenyGroup и, наконец, AllowGroups .

    По умолчанию SSH server даже не установлен. Вам нужно будет установить пакет openssh-server , прежде чем кто-нибудь сможет использовать SSH.

    После этого любой пользователь должен пройти две проверки:

    • SSH-аутентификация
    • Проверка учетной записи PAM

    SSH-аутентификация означает, что либо пользователь должен иметь действующий пароль в /etc/shadow либо у них есть действительный открытый ключ SSH с правильными разрешениями в ~/.ssh/authorized_keys целевого пользователя.

    Действующие пароли описаны далее в man-странице crypt(3) , но в основном, если второе поле пользователя в /etc/shadow – это что-то, начинающееся с $NUMBER$ , вероятно, оно действительно, и если это * или ! , это неверно.

    Проверка учетной записи PAM в основном означает, что счет не истек. Вы можете проверить это, используя chage -l USERNAME .

    Чтобы ответить на ваши вопросы, насколько мне известно:

    1. Только root и учетная запись, которую вы создаете во время установки, можете войти в новую систему
    2. Нет, потому что www-data имеет хешированный пароль * и не существует файла ~www-data/.ssh/authorized_keys
    3. Нет единого списка, потому что есть несколько требований, но чтобы получить представление, вы можете попробовать запустить grep -v '^[^:]*:[!*]:' /etc/shadow
    Linux и Unix - лучшая ОС в мире.