Меня попросили защитить моих клиентов Linux, отключив оболочку входа в систему для нежелательных сервисов. Например, указанные ниже службы были настроены по умолчанию с использованием оболочки bash при установке SLES12 SP2. Я не уверен насчет влияния, если я внесу эти изменения в систему.

Безопасно ли перенастроить их на что-то вроде /sbin /nologin или /bin /false?

безопасно ли покинуть систему, если она имеет статус пароля блокировки? (*,!, !! )

  • Я добавил статус пароля пользователя и зависимости, насколько я знаю.

список всех пользователей, имеющих оболочку - /etc /passwd:

cat /etc/passwd | egrep -v '/sbin/nologin|/bin/false|^root'

at:x:25:25:Batch jobs daemon:/var/spool/atjobs:/bin/bash
bin:x:1:1:bin:/bin:/bin/bash
daemon:x:2:2:Daemon:/sbin:/bin/bash
ftp:x:40:49:FTP account:/srv/ftp:/bin/bash
games:x:12:100:Games account:/var/games:/bin/bash
lp:x:4:7:Printing daemon:/var/spool/lpd:/bin/bash
man:x:13:62:Manual pages viewer:/var/cache/man:/bin/bash
news:x:9:13:News system:/etc/news:/bin/bash
nobody:x:65534:65533:nobody:/var/lib/nobody:/bin/bash
uucp:x:10:14:Unix-to-Unix CoPy system:/etc/uucp:/bin/bash

список паролей статуса: /etc /shadow

for user in $(cat /etc/passwd | egrep -v '/bin/false|/sbin/nologin|^root' |cut -d: -f1) ; do grep $user /etc/shadow; done

at:!:17115::::::
statd:!:17115::::::
bin:*:17105::::::
daemon:*:17105::::::
ftp:*:17105::::::
ftpsecure:!:17115::::::
games:*:17105::::::
lp:*:17105::::::
openslp:!:17105::::::
man:*:17105::::::
news:*:17105::::::
nobody:*:17105::::::
uucp:*:17105:::::: 

список зависимостей пользователей: /etc /group

for user in $(cat /etc/passwd | egrep -v '/bin/false|/sbin/nologin|^root' |cut -d: -f1) ; do grep $user /etc/group; done

at:x:25:
bin:x:1:daemon
winbind:x:483:
bin:x:1:daemon
daemon:x:2:
ftp:x:49:
games:x:40:
lp:x:7:
man:x:62:
news:x:13:
nobody:x:65533:
nogroup:x:65534:nobody
uucp:x:14:

1 ответ1

0

Мое мнение таково: если пользователь существует в системе, возможно, он имеет какое-то применение. Поэтому вместо того, чтобы менять вслух оболочки, я бы проверял, какие службы зависят от конкретного пользователя и играет ли эта роль в системе.

Если вы посмотрите на свой файл /etc/shadow (я предполагаю, что вы используете теневой пароль), вы можете заметить, что большинство этих учетных записей отключены (например, поле пароля установлено в «0»).

Для тех, кто на самом деле включен, я бы либо удалил сервис, если он мне не нужен на сервере (то есть: ftp), либо полностью отключил бы пользователя. Вы можете обратиться к этому вопросу для получения дополнительной информации о том, как правильно отключить учетную запись пользователя.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .