<html>

  <head>

    <meta http-equiv="content-type" content="text/html; charset=UTF-8">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    Hallo zusammen,<br>

    <br>

    Unter Windows kann man einem Benutzer das Recht nehmen, sich lokal

    oder remote anzumelden ("deny logon locally" bzw. "deny access to

    this computer from the network"). Windows unterscheidet zwischen

    logon "locally", "over the network" und "as a batch job"<br>

    <br>

    Nun muss ich Windows-Leuten erklären, dass Unix das genau so gut

    (oder besser) kann. Ich habe das aber bislang nie gebraucht und

    selten genutzt. Darum meine Frage: wie geht das unter Unix?<br>

    <br>

    Unter Unix kann man das Remote-Anmelden (zumindest per SSH) auch gut

    steuern: mit den sshd-Optionen AllowUsers/Groups bzw.

    DenyUsers/Grous.<br>

    <br>

    Aber wie setzte ich "deny logon locally" für Unix umsetzen (die

    shell auf /bin/false zu setzen ist mir bekannt)? Kann man effektiv

    verhindern, dass sich jemand mit einem Deamon-Account lokal

    anmeldet? Verhindert eine Shell /bin/false auch, dass jemand per su

    auf diesen Benutzer wechselt?<br>

    <br>

    Für Erleuchtung meiner beschränkten Kenntnisse bin ich dankbar.<br>

    <br>

    <div class="moz-signature">-- <br>

      <span style="color:black">

        Schönen Gruß <br>

        Hartmut Goebel <br>

      </span>

      <span style="font-size:smaller">Dipl.-Informatiker (univ), CISSP,

        CSSLP</span><br>

      <span style="font-size:smaller">Information Security Management,

        Security Governance, Secure Software Development</span>

      <p style="color:black" lang="de">

        Goebel Consult, Landshut <br>

        <a style="color:black" href="http://www.goebel-consult.de">http://www.goebel-consult.de</a>

      </p>

      <p style="color:grey;font-size:smaller">

        Monatliche Kolumne:

        <a style="color:grey !important;text-decoration:none !important"

href="http://www.cissp-gefluester.de/2011-09-kommerz-uber-recht-fdp-die-gefaellt-mir-partei">http://www.cissp-gefluester.de/2011-09-kommerz-uber-recht-fdp-die-gefaellt-mir-partei</a>

        <br>

        Blog:

        <a style="color:grey !important;text-decoration:none !important"

href="http://www.goebel-consult.de/blog/was-tun-wenn-der-audit-droht">http://www.goebel-consult.de/blog/was-tun-wenn-der-audit-droht</a>

      </p>

      <p style="color:grey;font-size:smaller">

        Goebel Consult ist Mitglied bei <a style="color:grey

          !important;text-decoration:none !important"

          href="http://www.7-it.de/">http://www.7-it.de/</a>

      </p>

    </div>

  </body>

</html>