Chinaunix首页 | 论坛 | 博客
  • 博客访问: 123706
  • 博文数量: 11
  • 博客积分: 880
  • 博客等级: 准尉
  • 技术积分: 410
  • 用 户 组: 普通用户
  • 注册时间: 2006-08-13 09:30
文章分类

全部博文(11)

文章存档

2011年(2)

2008年(9)

我的朋友

分类: LINUX

2011-10-13 10:38:43

SSH在Linux系统上是非常重要的网络服务,在系统管理上却有不少容易让人疏忽的地方。

以下是禁用SSH帐号容易犯的错误:
1. usermod -L
这是一般系统管理员最先想到和使用的方式,但只是这样能完全禁用帐号吗?
其实并不能,如果该用户使用了key验证方式,只是上面这条命名并不能禁止用户登录。
用户仍然具有完全的登录终端的权限。

2. usermod -L + change shell to /sbin/nologin
那更进一步,把用户的shell直接更改到/sbin/nologin
这样,用户既不能SSH登录系统,也无法SFTP到系统。
看起来我们的目的是达到了,但实际上仍然没有完全禁止用户的权限。
那现在还有什么权限是用户仍然有的呢?
其实大家如果对SSH了解的比较多的话,应该知道SSH具有TCP Forwarding的功能,可以实现端口转发、反向链接等高级功能。
上面的设置虽不能使用户登录到系统,但用户依然可以使用此服务器作为代理甚至跳板进入内部网络。

阅读(1130) | 评论(0) | 转发(0) |
0

上一篇:使用expect批量修改服务器密码

下一篇:没有了

给主人留下些什么吧!~~