[sage] Kann man den Login mit Deamon-Accounts effektiv verhindern?

[Florian Streibelt]

Hartmut Goebel <h.goebel at goebel-consult.de> schrieb:

>Hallo zusammen,
>
>Unter Windows kann man einem Benutzer das Recht nehmen, sich lokal oder
>remote anzumelden ("deny logon locally" bzw. "deny access to this
>computer from the network"). Windows unterscheidet zwischen logon
>"locally", "over the network" und "as a batch job"
>
>Nun muss ich Windows-Leuten erklären, dass Unix das genau so gut (oder
>besser) kann. Ich habe das aber bislang nie gebraucht und selten
>genutzt. Darum meine Frage: wie geht das unter Unix?
>
>Unter Unix kann man das Remote-Anmelden (zumindest per SSH) auch gut
>steuern: mit den sshd-Optionen AllowUsers/Groups bzw. DenyUsers/Grous.
>
>Aber wie setzte ich "deny logon locally" für Unix umsetzen (die shell
>auf /bin/false zu setzen ist mir bekannt)? Kann man effektiv
>verhindern,
>dass sich jemand mit einem Deamon-Account lokal anmeldet? Verhindert
>eine Shell /bin/false auch, dass jemand per su auf diesen Benutzer
>wechselt?
>
>Für Erleuchtung meiner beschränkten Kenntnisse bin ich dankbar.

Genau für sowas wurde PAM entwickelt....

F.
-- 
Von Unterwegs gesendet - ich bitte mir die Kürze und eventuelle Tippfehler nachzusehen. Vielen Dank.