3

Я хочу создать учетную запись пользователя для каждой из ключевых программ, установленных на моем сервере Debian. Например, для следующих программ:

Tomcat Nginx Supervisor PostgreSQL

Это, кажется, рекомендуется, основываясь на моем чтении в Интернете. Однако я хочу максимально ограничить эти учетные записи пользователей, чтобы они не имели входа в оболочку, не имели доступа к другим программам и были максимально ограниченными, но все же работоспособными.

Кто-нибудь мог бы рассказать мне, как этого можно достичь? Мое чтение пока предполагает это:

echo "/usr/sbin/nologin" >> /etc /shells useradd -s /usr/sbin/nologin tomcat

Но я думаю, что может быть более полный способ сделать это.

РЕДАКТИРОВАТЬ: я использую Debian Squeeze

|источник

2 ответа2

0

Я не знаю, поможет ли это вам или нет, просто увидеть это.

Я хочу максимально ограничить эти учетные записи пользователей, чтобы они не имели входа в оболочку

Для этого перед созданием учетной записи пользователя просто отредактируйте файл /etc/default/useradd

это 

  1 # useradd defaults file
  2 GROUP=100
  3 HOME=/home
  4 INACTIVE=-1
  5 EXPIRE=
  6 SHELL=/bin/bash
  7 SKEL=/etc/skel
  8 CREATE_MAIL_SPOOL=yes

К этому

  1 # useradd defaults file
  2 GROUP=100
  3 HOME=/home
  4 INACTIVE=-1
  5 EXPIRE=
  6 SHELL=/bin/nologin
  7 SKEL=/etc/skel
  8 CREATE_MAIL_SPOOL=yes

После изменения этого параметра, если вы создаете учетную запись пользователя, для всех этих учетных записей невозможно войти в систему

Именно из-за этого

user:x:1017:1017::/home/user:/bin/nologin -----> /etc /passwd запись в файле

посмотреть здесь

[max@localhost ~]$ su - user
Password: 
su: /bin/nologin: No such file or directory
[max@localhost ~]$

Вы можете получить это, отредактировав файл /etc/passwd напрямую, не нужно редактировать /etc/default/useradd

файл, если пользователь меньше

просто измените последний поданный

это

Пользователь: х: 1017: 1017::/ Главная / пользователь:/ bin / Баш

К этому

Пользователь: х: 1017: 1017::/ Главная / пользователь:/ bin / NOLOGIN

|источник
0

В каком дистрибутиве вы работаете? Хорошие дистрибутивы уже настроили свои сценарии установки для таких пакетов, чтобы создавать пользователей, специфичных для демонов, которым может быть полезно работать от имени отдельного пользователя. Некоторые пакеты совместно используют пользователя, где они должны совместно читать / записывать различные файлы. Но во всех случаях они имеют тенденцию использовать nologin качестве оболочки для входа в систему, что уместно.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .