SSH在Linux系统上是非常重要的网络服务,在系统管理上却有不少容易让人疏忽的地方。
以下是禁用SSH帐号容易犯的错误:
1. usermod -L
这是一般系统管理员最先想到和使用的方式,但只是这样能完全禁用帐号吗?
其实并不能,如果该用户使用了key验证方式,只是上面这条命名并不能禁止用户登录。
用户仍然具有完全的登录终端的权限。
2. usermod -L + change shell to /sbin/nologin
那更进一步,把用户的shell直接更改到/sbin/nologin
这样,用户既不能SSH登录系统,也无法SFTP到系统。
看起来我们的目的是达到了,但实际上仍然没有完全禁止用户的权限。
那现在还有什么权限是用户仍然有的呢?
其实大家如果对SSH了解的比较多的话,应该知道SSH具有TCP Forwarding的功能,可以实现端口转发、反向链接等高级功能。
上面的设置虽不能使用户登录到系统,但用户依然可以使用此服务器作为代理甚至跳板进入内部网络。
阅读(1124) | 评论(0) | 转发(0) |
