Я написал скрипт для добавления пользователей CVS и SVN на сервер Linux (Slackware 14.0). Этот сценарий создает пользователя при необходимости и либо копирует ключ SSH пользователя из существующей учетной записи оболочки, либо генерирует новый ключ SSH.
Просто чтобы быть ясно, счета специально для SVN или CVS. Итак, запись в /home/${username}/.ssh/authorized_keys начинается с (на примере CVS):
command="/usr/bin/cvs server",no-port-forwarding,no-agent-forwarding,no-X11-forwarding,no-pty ssh-rsa ....etc...etc...etc...
Настоящий доступ к оболочке никогда не будет разрешен для этих пользователей - они предназначены исключительно для предоставления доступа к нашим исходным репозиториям через SSH.
Моя проблема в том, что когда я добавляю нового пользователя, он получает пустой пароль в /etc/shadow по умолчанию. Это выглядит как:
paddycvs:!:15679:0:99999:7:::
Если я оставлю теневой файл как есть (с !), Аутентификация SSH не пройдёт. Чтобы включить SSH, я должен сначала запустить passwd для нового пользователя и ввести что-то.
У меня есть две проблемы с этим. Во-первых, он требует ввода пользователя, который я не могу разрешить в этом скрипте. Во-вторых, он потенциально позволяет пользователю войти в систему на физическом терминале (если у него есть физический доступ, который он мог бы знать, и знает секретный пароль - хорошо, так что это маловероятно).
Обычно я запрещаю пользователям входить в систему, устанавливая их оболочку в /bin/false , но если я это сделаю, то SSH тоже не будет работать!
У кого-нибудь есть предложения по написанию этого? Должен ли я просто использовать sed или что-то еще и заменить соответствующую строку в файле теней на предварительно заданную зашифрованную строку секретного пароля? Или есть лучший способ?
Ура =)