Модератор: Bizdelnick
| в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Ты хочешь сказать, что даже если прописать rssh, то можно запустить так любую команду и отсылаешь к строчке "If command is specified, it is executed on the remote host instead of a login shell." ?Bizdelnick писал(а): ↑06.05.2016 14:24Если кто-то ломится по ssh, то не имеет никакого значения, какой у юзера прописан шелл, потому что вместо него ssh умеет запускать любую команду. См. man ssh.
| в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Bizdelnick писал(а): ↑07.05.2016 01:09Да, видимо ты прав. В таком случае я не знаю способа обойти nologin и уж подавно не представляю, чем cat может быть лучше.
| в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Bizdelnick писал(а): ↑07.05.2016 12:03Это понятно, но не думаю, что это лучше, чем вообще ничго не читать с stdin, как делают nologin и false.
мдамс глупый вопрос я задал 
Код: Выделить всё
$ ssh server
\320\224\320\276\321\201\321\202\321\203\320\277 \320\262\321\200\320\265\320\274\320\265\320\275\320\275\320\276 \320\267\320\260\320\277\321\200\320\265\321\211\321\221\320\275!
Connection closed by 10.177.11.1Код: Выделить всё
$ ssh root@server
root@server's password:
Доступ временно запрещён!
Linux itm-server 2.6.26-2-686 #1 SMP Wed Aug 19 06:06:52 UTC 2009 i686MiK13 писал(а): ↑20.05.2016 13:23Случайно увидел это обсуждение и решил поверить nologin.
Подключился к серверу как root, создал файл /etc/nolon, в который записал фразу: Доступ временно запрещён!.
После это попробовал и вот что вышло:
Код: Выделить всё
$ ssh server \320\224\320\276\321\201\321\202\321\203\320\277 \320\262\321\200\320\265\320\274\320\265\320\275\320\275\320\276 \320\267\320\260\320\277\321\200\320\265\321\211\321\221\320\275! Connection closed by 10.177.11.1
Правда,Код: Выделить всё
$ ssh root@server root@server's password: Доступ временно запрещён! Linux itm-server 2.6.26-2-686 #1 SMP Wed Aug 19 06:06:52 UTC 2009 i686
Получается, что в этом файле вообще нельзя использовать русские буквы?
HorekRediskovich писал(а): ↑20.05.2016 16:55эм я похоже просто не понимаю всю затею вашу, но /sbin/nologin прописывается при создании пользователя как его shell либо в файле /etc/passwd в поле где прописывается shell пользователя.
Код: Выделить всё
ОПИСАНИЕ
Программа nologin выдаёт сообщение, что учётная запись недоступна и
завершает работу с ненулевым кодом возврата. Она предназначена для
замены оболочки командной строки в поле оболочки у заблокированных
учётных записей.
Чтобы заблокировать все учётные записи посмотрите справочную страницу
nologin(5).Код: Выделить всё
DESCRIPTION
If the file /etc/nologin exists and is readable, login(1) will allow
access only to root. Other users will be shown the contents of this
file and their logins will be refused.Код:
mik13@MD:~/Загрузки$ su -c locale
Пароль:
LANG=ru_RU.UTF-8
LANGUAGE=ru_RU:ru
LC_CTYPE="ru_RU.UTF-8"
LC_NUMERIC="ru_RU.UTF-8"
LC_TIME="ru_RU.UTF-8"
LC_COLLATE="ru_RU.UTF-8"
LC_MONETARY="ru_RU.UTF-8"
LC_MESSAGES="ru_RU.UTF-8"
LC_PAPER="ru_RU.UTF-8"
LC_NAME="ru_RU.UTF-8"
LC_ADDRESS="ru_RU.UTF-8"
LC_TELEPHONE="ru_RU.UTF-8"
LC_MEASUREMENT="ru_RU.UTF-8"
LC_IDENTIFICATION="ru_RU.UTF-8"
LC_ALL=
mik13@MD:~/Загрузки$ locale
LANG=ru_RU.UTF-8
LANGUAGE=ru_RU:ru
LC_CTYPE="ru_RU.UTF-8"
LC_NUMERIC="ru_RU.UTF-8"
LC_TIME="ru_RU.UTF-8"
LC_COLLATE="ru_RU.UTF-8"
LC_MONETARY="ru_RU.UTF-8"
LC_MESSAGES="ru_RU.UTF-8"
LC_PAPER="ru_RU.UTF-8"
LC_NAME="ru_RU.UTF-8"
LC_ADDRESS="ru_RU.UTF-8"
LC_TELEPHONE="ru_RU.UTF-8"
LC_MEASUREMENT="ru_RU.UTF-8"
LC_IDENTIFICATION="ru_RU.UTF-8"
LC_ALL= | в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
root@host
# grep user1 /etc/shadow
user1:$6$r6AWfJMr$9v5Fm2bqv3ETgisXAKDJT5bj8xdGyY5qVJst7qtsp3YpurmMCdU9FA1L4Pw9AX7hXL3iZdEz4sXLDgqrzAEpf1:16016:0:99999:7:::
# passwd -l user1
passwd: информация об истечении срока действия пароля изменена.
# grep user1 /etc/shadow
user1:!$6$r6AWfJMr$9v5Fm2bqv3ETgisXAKDJT5bj8xdGyY5qVJst7qtsp3YpurmMCdU9FA1L4Pw9AX7hXL3iZdEz4sXLDgqrzAEpf1:16016:0:99999:7:::
root@host
# grep user1 /etc/shadow
user1:$6$r6AWfJMr$9v5Fm2bqv3ETgisXAKDJT5bj8xdGyY5qVJst7qtsp3YpurmMCdU9FA1L4Pw9AX7hXL3iZdEz4sXLDgqrzAEpf1:16016:0:99999:7:::
# chage -l user1
Последний раз пароль был изменён : ноя 07, 2013
Срок действия пароля истекает : никогда
Пароль будет деактивирован через : никогда
Срок действия учётной записи истекает : никогда
Минимальное количество дней между сменой пароля : 0
Максимальное количество дней между сменой пароля : 99999
Количество дней с предупреждением перед деактивацией пароля : 7
# chage -E 0 user1
# grep user1 /etc/shadow
user1:$6$r6AWfJMr$9v5Fm2bqv3ETgisXAKDJT5bj8xdGyY5qVJst7qtsp3YpurmMCdU9FA1L4Pw9AX7hXL3iZdEz4sXLDgqrzAEpf1:16016:0:99999:7::0:
# chage -l user1
Последний раз пароль был изменён : ноя 07, 2013
Срок действия пароля истекает : никогда
Пароль будет деактивирован через : никогда
Срок действия учётной записи истекает : янв 01, 1970
Минимальное количество дней между сменой пароля : 0
Максимальное количество дней между сменой пароля : 99999
Количество дней с предупреждением перед деактивацией пароля : 7
root@host
#chage -E -1 user1 | в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Bizdelnick писал(а): ↑23.05.2016 12:12
Вы правда знаете самый правильный способ? А Вам не приходило в голову, что эти способы предназначены для разных случаев?
Выше вроде бы уже разобрались, что это не так.
Это не способ ограничения доступа, а всего лишь способ запретить использование установленного пароля.
| в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
user@host
$ ssh user1@server /bin/bash
user1@localhost's password:
ls -la <== команда в ssh-сессии (стандартного приглашения типа "$, #, %" нет)
итого 192
drwxr-xr-x 10 user1 user1 4096 сен 30 2015 .
drwxr-xr-x 5 root root 4096 ноя 7 2013 ..
drwx------ 2 user1 user1 4096 сен 30 2015 .aptitude
-rw------- 1 user1 user1 492 сен 30 2015 .bash_history
-rw-r--r-- 1 user1 user1 220 ноя 7 2013 .bash_logout
-rw-r--r-- 1 user1 user1 3392 ноя 7 2013 .bashrc
drwxr-xr-x 6 user1 user1 4096 сен 30 2015 .cache
drwxr-xr-x 11 user1 user1 4096 сен 30 2015 .config
drwx------ 3 user1 user1 4096 сен 4 2015 .dbus
drwx------ 2 user1 user1 4096 сен 30 2015 .gnupg
-rw-r--r-- 1 user1 user1 415 сен 4 2015 .gtkrc-2.0
lrwxrwxrwx 1 user1 user1 22 сен 4 2015 .gtkrc-2.0-kde4 -> /home/user1/.gtkrc-2.0
drwx------ 3 user1 user1 4096 сен 4 2015 .kde
drwxr-xr-x 3 user1 user1 4096 сен 4 2015 .local
-rw-r--r-- 1 user1 user1 1107 ноя 7 2013 .mkshrc
drwx------ 3 user1 user1 4096 сен 30 2015 .nv
-rw-r--r-- 1 user1 user1 675 ноя 7 2013 .profile
-rw------- 1 user1 user1 60 сен 30 2015 .Xauthority
-rw------- 1 user1 user1 124858 сен 30 2015 .xsession-errors
user@host
$ ssh user1@server /bin/bash
ls -la <== команда в ssh-сессии (стандартного приглашения типа "$, #, %" нет)
итого 192
drwxr-xr-x 10 user1 user1 4096 сен 30 2015 .
drwxr-xr-x 5 root root 4096 ноя 7 2013 ..
drwx------ 2 user1 user1 4096 сен 30 2015 .aptitude
-rw------- 1 user1 user1 492 сен 30 2015 .bash_history
-rw-r--r-- 1 user1 user1 220 ноя 7 2013 .bash_logout
-rw-r--r-- 1 user1 user1 3392 ноя 7 2013 .bashrc
drwxr-xr-x 6 user1 user1 4096 сен 30 2015 .cache
drwxr-xr-x 11 user1 user1 4096 сен 30 2015 .config
drwx------ 3 user1 user1 4096 сен 4 2015 .dbus
drwx------ 2 user1 user1 4096 сен 30 2015 .gnupg
-rw-r--r-- 1 user1 user1 415 сен 4 2015 .gtkrc-2.0
lrwxrwxrwx 1 user1 user1 22 сен 4 2015 .gtkrc-2.0-kde4 -> /home/user1/.gtkrc-2.0
drwx------ 3 user1 user1 4096 сен 4 2015 .kde
drwxr-xr-x 3 user1 user1 4096 сен 4 2015 .local
-rw-r--r-- 1 user1 user1 1107 ноя 7 2013 .mkshrc
drwx------ 3 user1 user1 4096 сен 30 2015 .nv
-rw-r--r-- 1 user1 user1 675 ноя 7 2013 .profile
-rw------- 1 user1 user1 60 сен 30 2015 .Xauthority
-rw------- 1 user1 user1 124858 сен 30 2015 .xsession-errors
user@host
$ ssh user1@localhost /bin/bash
user1@localhost's password:
Your account has expired; please contact your system administrator
Connection closed by ::1
$
$ ssh test@192.168.122.58 /bin/bash
test@192.168.122.58's password:
This account is currently not available.
$| в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
| в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
| в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
это не запрет доступа. это вообще сюда не относится. оно, конечно, имеет побочный эффект, что люди без ключа не могут зайти, но это лишь побочный эффект.
У вас что-то не так. Будьте добры дистрибутив, версию ssh, строчку /etc/passwd про вашего пользователя, и команды повыполняйте не ls, а всякие whoami; echo "$SSH_CLIENT"; echo "$SSH_TTY" . а то не очень верится как-то.
Код: Выделить всё
$ sudo adduser --shell /usr/sbin/nologin sshtest
Adding user `sshtest' ...
<..>
Is the information correct? [Y/n] Y
$ ssh sshtest@localhost /bin/bash
sshtest@localhost's password:
This account is currently not available.
$ grep sshtest /etc/passwd
sshtest:x:1407:1407:,,,:/home/sshtest:/usr/sbin/nologin
$ sudo chsh -s /bin/false sshtest
$ ssh sshtest@localhost /bin/bash
sshtest@localhost's password:
$ echo $?
1
$ dpkg -l | grep openssh
ii openssh-blacklist 0.4.1+nmu1 all list of default blacklisted OpenSSH RSA and DSA keys
ii openssh-blacklist-extra 0.4.1+nmu1 all list of non-default blacklisted OpenSSH RSA and DSA keys
ii openssh-client 1:7.1p1-4 amd64 secure shell (SSH) client, for secure access to remote machines
ii openssh-server 1:7.1p1-4 amd64 secure shell (SSH) server, for secure access from remote machines
ii openssh-sftp-server 1:7.1p1-4 amd64 secure shell (SSH) sftp server module, for SFTP access from remote machines
$ uname -a
Linux localhost 4.0.0-2-amd64 #1 SMP Debian 4.0.8-2 (2015-07-22) x86_64 GNU/Linux
$ cat /etc/debian_version
stretch/sidКод: Выделить всё
# useradd -s /sbin/nologin greg
# cat /etc/passwd|grep greg
greg:x:1111:1111::/home/greg:/sbin/nologin
# ssh -l greg 10.10.10.10
greg@192.168.255.200's password:
Last login: Mon May 23 18:22:22 2016 from srv.loval.lan
This account is currently not available.
Connection to 10.10.10.10 closed.Код: Выделить всё
# useradd -s /bin/false greg
# cat /etc/passwd|grep greg
greg:x:1112:1112::/home/greg:/bin/false
# ssh greg@192.168.255.200 /bin/bash
greg@192.168.255.200's password:
#stannum писал(а): ↑23.05.2016 13:33Spoiler
Давайте рассмотрим все варианты:
Сперва условимся, что пользователь user1 имеет возможность входа в систему по паролю, у него есть домашний каталог и запись в /etc/passwd с шеллом, типа /bin/sh или /bin/bash.
1. Меняем его логин шелл на false или что-угодно, что явно не даст ему шелла (cat , nologin, скрипт - тысячи их)
Теперь он выполняет со своего компа:
user@host
Вводит свой пароль и вуаля! Он на server'е и запустил себе /bin/bash в которм может делать все что позволено его учётке
2. Блокируем учётку командой passwd -l user1
Но умный user1 задолго до этого сгенерировал себе ключевую пару закрытый/открытый ключ командой ssh-keygen на другом компе и добавил открытый ключ в файл /home/user1/.ssh/authorized_keys, например командой ssh-copy-id
И теперь при вводе:
user@host
Он авторизуется без ввода пароля по своему ключу и так же запустит себе BASH как приложение, в котором будет что-либо делать
3. Способ с выставлением срока годности учётки я уже описал выше, важно то, что получит пользователь при попытке войти:
user@host
Вот и все.
А для "системных" пользователей 1й способ применяется по той причине, что у них нет ни домашнего каталога ни пароля (в большинстве случаев). Как-то так, надеюсь объяснил.