Bir kullanıcının Linux'ta “oturum açmasına izin verilip verilmediğini” nasıl anlarsınız?

Soru basit, sistemime giriş yapabilen tüm kullanıcı hesaplarını listelemek istiyorum, ancak / etc / passwd içindeki tüm kullanıcıların "giriş yapabileceği" kullanıcılar olup olmadığından emin değilim?

Detaylar:

Kimin kabukları ayarlanır kullanıcılar görebilir /usr/sbin/nologinve /bin/falseiçinde /etc/passwd, bu onların giriş yapamaz demek?

Ben de kullanıcının şifreli şifre koyabilirsiniz biliyoruz *ya !içinde /etc/shadow"Engelli kullanıcı" aynı zamanda kullanıcının sağ "giriş yapamıyorum" olarak muamele olmalıdır böylece, hesapları devre dışı bırakma?

Teknik olarak herhangi bir kullanıcı - bu bir sürü "günlükte" nin tanımına bağlı bulunduğu yer /etc/passwd& /etc/shadowbir "geçerli bir kullanıcı" ve teorik koşulların doğru kümesi altında giriş olabilir.

Bahsettiğiniz yöntemler aşağıdaki geniş kategorilere ayrılır:

• Sahip kullanıcılar hesapları "kilitli"
  şifresini ayarlandığında bir kullanıcı *, !(kongre sıklıkla oldu Güneş günlerde maçı "kilitli" bir asla veya başka karma *LK*"Kilitli" için).
  Bu kullanıcılar giriş yapamıyor bir şifre yazarak , ancak olabilir hala (örneğin, SSH anahtarlarını) diğer kimlik doğrulama sistemlerini kullanarak oturum açın.

• Bir "etkileşimli olmayan" kabuk olan kullanıcılar
  hesabının bir "etkileşimli olmayan kabuk" (vardır bir kullanıcı /bin/false, /sbin/nologin) giriş yapamıyorum etkileşimli - yani onlar komutları çalıştırmak için istemi bir kabuk elde edemezsiniz (bu aynı zamanda SSH önler kullanıcının sistemde SSH anahtarları varsa komut yürütme).
  Bu kullanıcılar, e-posta okuma / gönderme (POP / IMAP ve SMTP YETK yoluyla) gibi şeyler yapmak için oturum açmaya devam edebilir. Kabuğu hiç kullanması gerekmeyen kullanıcılar (ve çoğu "hizmet hesabı" için) için etkileşimli olmayan bir kabuk ayarlamak genellikle iyi bir uygulama olarak kabul edilir.

Dolayısıyla, "giriş yapabilme" ölçütlerinize bağlı olarak, bunlardan birini veya her ikisini kontrol etmek isteyebilirsiniz.

Kullanıcının devre dışı bırakılması ile kabuğun / bin / false veya benzeri olarak ayarlanması arasında bir fark vardır.

Kabuğun / bin / false olarak ayarlanması kullanıcının bir kabuk almasını engeller, ancak yerel kullanıcılar başka bir şey (posta kimlik doğrulaması, ftp vb.) İçin kullanılıyorsa yine de sistemde oturum açabilirler. Kullanıcının devre dışı bırakılması, sunucunun yerel kullanıcıları kullanan tüm hizmetlerini kullanmasını imkansız hale getirir.

Yukarıdakilere ek olarak, şifre girişleri birkaç farklı yöntem kullanılarak doğru görünse bile kullanıcılar bir sistemden kilitlenebilir.

/etc/security/access.conf kimlerin oturum açabileceğini sınırlamak için kullanılabilir.

Belirli kullanıcıları kısıtlamak veya ihtiyaca göre oturum açma davranışını değiştirmek için yapılandırılabilen birçok PAM modülü vardır. (örn. sunucuda giriş dizini yok, oturum açmaya izin verilmiyor.)