Hangi kullanıcıların varsayılan olarak SSH üzerinden giriş yapmasına izin verilir?

1. Debian 6'mı kurduğumda, şifresini bildiğim root dışında hangi kullanıcıların SSH aracılığıyla sistemime giriş yapabileceğini merak ediyordum.

2. Apache 2'yi yüklediğimde www-data adlı bir kullanıcı oluşturulur. Bu kullanıcının SSH üzerinden sistemime giriş yapma hakkı var mı? Ancak, www-data için herkesin girebileceği varsayılan bir şifre varsa, bu benim için olası görünmüyor.

3. SSH aracılığıyla hangi kullanıcıların sistemime giriş yapmalarına izin verilen bir listem var? Ssh config dosyalarında hiçbir şey bulunamıyor.

Paradeepchhetri tam olarak doğru değil.

Debian'ın değiştirilmemiş sshd_configaşağıdakileri vardır:

PubkeyAuthentication yes
PermitEmptyPasswords no
UsePAM yes

Bu nedenle, ssh ile giriş sadece içinde bir parola alanı /etc/shadowveya bir ssh anahtarı olan kullanıcılar için çalışır ~/.ssh/authorized_keys. İçin varsayılan değer olduğunu Not PubkeyAuthenticationIS yesve için PermitEmptyPasswordsise nosize davranışı aynı olacaktır bunları kaldırmak böylece bile.

Soru örneğinde, www-dataDebian'ın yükleyicisi bir parola atamadığı veya bir anahtar oluşturmadığı için varsayılan olarak oturum açmasına izin verilmez www-data.

pam_access, AllowUsersVe AllowGroupsde sshd_configince kontrolü için kullanılabileceğini gerekli olması durumunda. Debian'da şiddetle teşvik edilir UsePAM.

Varsayılan olarak, Debian'daki tüm kullanıcılar için oturum açmaya izin verilir.

/etc/ssh/sshd_configDosyayı düzenleyerek giriş yapabilen belirli kullanıcılara izin vererek değiştirebilirsiniz .

Sshd_config kılavuz sayfasında belirtildiği gibi.

AllowUsers

Bu anahtar kelimeyi,
boşluklarla ayrılmış bir kullanıcı adı desenleri listesi izleyebilir . Belirtilirse, girişe yalnızca kalıplardan biriyle eşleşen kullanıcı adları için izin verilir. Yalnızca kullanıcı adları geçerlidir; sayısal kullanıcı kimliği
tanınmıyor. Varsayılan olarak, tüm kullanıcılar için oturum açmaya izin verilir. Desen formu alırsa USER@HOSTo zaman USERve HOSTayrı ayrı kontrol edilir, özellikle konaklardan belirli kullanıcılara oturumların kısıtlayan. / İzin direktifler aşağıdaki sırayla işlenir inkar: DenyUsers, AllowUsers, DenyGroupve nihayet AllowGroups.

Varsayılan olarak, SSH serveryüklü bile değildir. openssh-serverKimse SSH girmeden önce paketi yüklemeniz gerekir .

Bundan sonra, herhangi bir kullanıcının iki kontrolü geçmesi gerekir:

• SSH kimlik doğrulaması
• PAM hesabı kontrolleri

SSH kimlik doğrulaması, kullanıcının geçerli bir parolaya sahip olması /etc/shadowveya hedef kullanıcının doğru izinlerine sahip geçerli bir SSH ortak anahtarına sahip olması gerektiği anlamına gelir ~/.ssh/authorized_keys.

Geçerli şifreler crypt(3)kılavuz sayfasında daha ayrıntılı olarak açıklanmaktadır , ancak temel olarak kullanıcının 2. alanı /etc/shadowile başlayan bir $NUMBER$şeyse, büyük olasılıkla geçerlidir ve eğer *ya da !geçersizse.

PAM hesabı kontrolleri temel olarak hesabın süresinin dolmadığı anlamına gelir. Bunu kullanarak kontrol edebilirsiniz chage -l USERNAME.

Sorularınızı cevaplamak için, bildiklerime:

1. Kurulum sihirbazı sırasında yalnızca root ve oluşturduğunuz hesap yeni bir sistemde oturum açabilir
2. Hayır, çünkü www-datakarma bir şifresi var *ve ~www-data/.ssh/authorized_keysdosya yok
3. Tek bir liste yoktur, çünkü birden fazla gereksinim vardır, ancak bir fikir edinmek için yayınlamayı deneyebilirsiniz grep -v '^[^:]*:[!*]:' /etc/shadow