Désactiver le shell utilisateur pour des raisons de sécurité

Nous avons créé plusieurs comptes d'utilisateurs pour les tâches automatisées nécessitant des autorisations détaillées, telles que le transfert de fichiers entre systèmes, la surveillance, etc.

Comment verrouiller ces comptes d'utilisateurs pour que ces "utilisateurs" n'aient pas de shell et ne puissent pas se connecter? Nous voulons éviter la possibilité que quelqu'un puisse entrer SSH dans l'un de ces comptes d'utilisateur.

Vous pouvez utiliser la usermodcommande pour modifier le shell de connexion d'un utilisateur.

usermod -s /sbin/nologin myuser

ou

usermod -s /usr/sbin/nologin myuser

Si votre système d'exploitation ne fournit pas / sbin / nologin, vous pouvez définir le shell sur une commande NOOP telle que / bin / false:

usermod -s /bin/false myuser

Changer le shell de connexion n'empêche pas nécessairement les utilisateurs de s'authentifier (sauf dans certains services qui vérifient si le shell de l'utilisateur est mentionné dans /etc/shells).

Les utilisateurs peuvent toujours être en mesure de s’authentifier auprès des divers services fournis par votre système aux utilisateurs d’Unix et peuvent toujours être autorisés à effectuer certaines actions, sans toutefois exécuter directement des commandes arbitraires.

Changer le shell pour /bin/falseou /usr/sbin/nologinseulement l'empêcher d'exécuter des commandes sur les services qui peuvent être utilisés pour exécuter des commandes (connexion à la console, ssh, telnet, rlogin, rexec, etc.) n'affectent l' autorisation que pour certains services.

Par sshexemple, cela leur permet toujours d'effectuer un transfert de port.

passwd -ldésactive l'authentification par mot de passe, mais l'utilisateur peut toujours être autorisé à utiliser d'autres méthodes d'authentification (comme authorized_keysavec ssh).

Sous pamLinux au moins, vous pouvez utiliser le pam_shellsmodule pour restreindre l'authentification ou l'autorisation aux utilisateurs disposant d'un shell autorisé (ceux mentionnés dans /etc/shells). En effet ssh, vous voudrez le faire au niveau autorisation ( account) comme pour l’ sshdutilisation de l’ authentification pam en plus d’autres méthodes d’authentification (comme authorized_keys), ou vous pouvez le faire avec des sshd_configdirectives dans /etc/ssh/sshd_config(comme AllowUserset amis).

Attention, l'ajout de certaines restrictions à l'autorisation globale de pam peut potentiellement empêcher l'exécution de crontâches en tant qu'utilisateurs.

Vous éditez le /etc/passwdfichier et changez le shell des utilisateurs depuis /bin/bashou /bin/shvers/sbin/nologin

Tout d'abord, désactivez le mot de passe en utilisant passwd -l username.

Notez également dans la manpage passwdpour l'option -l:

   -l, --lock
       Lock the password of the named account. This option disables a password by changing it to a value which matches no
       possible encrypted value (it adds a ´!´ at the beginning of the password).

       Note that this does not disable the account. The user may still be able to login using another authentication token
       (e.g. an SSH key). To disable the account, administrators should use usermod --expiredate 1 (this set the account's
       expire date to Jan 2, 1970).

       Users with a locked password are not allowed to change their password.

Vous pouvez utiliser la commande chsh:

~# chsh myuser

Entrez les nouveaux détails du shell à la demande:

Login Shell [/bin/sh]: /bin/nologin

Ou version plus courte:

~# chsh myuser -s /bin/nologin

Pour empêcher l'utilisateur de se connecter et même de s'authentifier sur ssh, ce qui active le transfert de port (comme décrit ici, Stéphane), modifie l'utilisateur pour qu'il soit similaire à l' nobodyutilisateur du système :

• authentification de mot de passe bloquée dans /etc/shadow(avec *ou !!dans le champ approprié)
• shell désactivé dedans /etc/passwd(par exemple /sbin/nologinau champ approprié)
• répertoire de départ en lecture seule /etc/passwd(par exemple, /dans le champ approprié)