[sage] Kann man den Login mit Deamon-Accounts effektiv verhindern?

Hartmut Goebel h.goebel at goebel-consult.de
Tue Oct 1 14:11:21 CEST 2013


Hallo zusammen,

Unter Windows kann man einem Benutzer das Recht nehmen, sich lokal oder
remote anzumelden ("deny logon locally" bzw. "deny access to this
computer from the network"). Windows unterscheidet zwischen logon
"locally", "over the network" und "as a batch job"

Nun muss ich Windows-Leuten erklären, dass Unix das genau so gut (oder
besser) kann. Ich habe das aber bislang nie gebraucht und selten
genutzt. Darum meine Frage: wie geht das unter Unix?

Unter Unix kann man das Remote-Anmelden (zumindest per SSH) auch gut
steuern: mit den sshd-Optionen AllowUsers/Groups bzw. DenyUsers/Grous.

Aber wie setzte ich "deny logon locally" für Unix umsetzen (die shell
auf /bin/false zu setzen ist mir bekannt)? Kann man effektiv verhindern,
dass sich jemand mit einem Deamon-Account lokal anmeldet? Verhindert
eine Shell /bin/false auch, dass jemand per su auf diesen Benutzer wechselt?

Für Erleuchtung meiner beschränkten Kenntnisse bin ich dankbar.

-- 
Schönen Gruß
Hartmut Goebel
Dipl.-Informatiker (univ), CISSP, CSSLP
Information Security Management, Security Governance, Secure Software
Development

Goebel Consult, Landshut
http://www.goebel-consult.de

Monatliche Kolumne:
http://www.cissp-gefluester.de/2011-09-kommerz-uber-recht-fdp-die-gefaellt-mir-partei

Blog: http://www.goebel-consult.de/blog/was-tun-wenn-der-audit-droht

Goebel Consult ist Mitglied bei http://www.7-it.de/

-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.guug.de/pipermail/sage/attachments/20131001/f5a56b25/attachment.htm 
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 3883 bytes
Desc: S/MIME Kryptografische Unterschrift
Url : http://lists.guug.de/pipermail/sage/attachments/20131001/f5a56b25/attachment.bin 


More information about the SAGE mailing list