[sage] Kann man den Login mit Deamon-Accounts effektiv verhindern?

Ralf Zessin Ralf.Zessin at rz-guru.de
Tue Oct 1 15:44:17 CEST 2013


On Tue, Oct 01, 2013 at 02:11:21PM +0200, Hartmut Goebel wrote:
> Hallo zusammen,
> 
> Unter Windows kann man einem Benutzer das Recht nehmen, sich lokal oder
> remote anzumelden ("deny logon locally" bzw. "deny access to this
> computer from the network"). Windows unterscheidet zwischen logon
> "locally", "over the network" und "as a batch job"
> 
> Nun muss ich Windows-Leuten erklären, dass Unix das genau so gut (oder
> besser) kann. Ich habe das aber bislang nie gebraucht und selten
> genutzt. Darum meine Frage: wie geht das unter Unix?
> 
> Unter Unix kann man das Remote-Anmelden (zumindest per SSH) auch gut
> steuern: mit den sshd-Optionen AllowUsers/Groups bzw. DenyUsers/Grous.
> 
> Aber wie setzte ich "deny logon locally" für Unix umsetzen (die shell
> auf /bin/false zu setzen ist mir bekannt)? Kann man effektiv verhindern,
> dass sich jemand mit einem Deamon-Account lokal anmeldet? Verhindert
> eine Shell /bin/false auch, dass jemand per su auf diesen Benutzer wechselt?
> 
> Für Erleuchtung meiner beschränkten Kenntnisse bin ich dankbar.
> 

Hartmut,
du mußt wirklich zwischen login und Userwerden unterscheiden.

Das einfachste, einem user lokal kein Recht zu geben sich anzumelden ist ihm
ein ungültiges Pasword zu vergeben, so haben fast alle daemon-User in der 
/etc/shadow im pw-feld ein "*", was deine Anfrage als solches schon beantwortet.

Bei Nutzung von Verzeichnisdiensten kann man das über deren eingebautenr
Mechanismen verhindern, die dann aber schon etwas trickiger sind.
Bei einzel-sperren überschreibt man am besten durch einen eigenen /etc/passwd 
die Auflösung über den Verzeichnisdienst.

Wenn du verhindern möchtest, das sich root zum user mit interaktiver Shell macht,
mußt du tatsichlich /bin/false oder drgl. als login-shell eintragen, gegen ein
su ohne '-' hiöft es allerdings nicht.

Viele Grüße

Ralf
-- 

[-----------------------v------------------------------------------------------]
[ Ralf Zessin           | E-Mail: Ralf.Zessin at rz-guru.de                       ]
[ Pflugstr.24           |    Tel: (+49) 69 / 95 29 47 - 31  ,  Fax: - 32       ]
[ D-60431 Frankfurt     | PGP-Fingerprint:  ( 2048/13742E99 2000/02/25 )       ]
[ http://www.rz-guru.de | 97 E3 86 6D AC 8C 3C 1A  41 01 B5 49 B2 8A 11 81     ]
[-----------------------^------------------------------------------------------]



More information about the SAGE mailing list