-
데비안 6을 설정할 때, 루트를 제외하고 SSH를 통해 시스템에 로그인 할 수있는 비밀번호를 가진 사용자는 누구입니까?
-
Apache 2를 설치하면 www-data라는 사용자가 생성됩니다. 이 사용자는 SSH를 통해 시스템에 로그인 할 권리가 있습니까? 그러나 모든 사람들이 로그인 할 수있는 www-data에 대한 기본 암호가 있다면 나에게는 보이지 않을 것입니다.
-
SSH를 통해 시스템에 로그인 할 수있는 사용자 목록은 어디에 있습니까? ssh 구성 파일에서 아무것도 찾을 수 없습니다.
답변
Paradeepchhetri가 정확하지 않습니다.
데비안의 수정되지 않은 내용 sshd_config은 다음과 같습니다.
PubkeyAuthentication yes
PermitEmptyPasswords no
UsePAM yes
따라서 ssh를 통한 로그인은에 비밀번호 필드가 채워진 사용자 /etc/shadow또는 ssh 키 가있는 사용자에게만 작동합니다 ~/.ssh/authorized_keys. 의 기본값 PubkeyAuthentication은 yesand PermitEmptyPasswords입니다 no. 따라서 제거하더라도 동작은 동일합니다.
질문 예제 www-data에서 데비안 설치 프로그램은 암호를 할당하거나 키를 생성하지 않기 때문에 기본적으로 로그인 할 수 없습니다 www-data.
pam_access, AllowUsers과 AllowGroups에서 sshd_config정밀한 제어를 위해 사용할 수는 필요한 경우. 데비안에서는 강력히 권장합니다 UsePAM.
답변
기본적으로 데비안의 모든 사용자는 로그인이 허용됩니다.
/etc/ssh/sshd_config파일 을 편집하여 로그인 할 수있는 특정 사용자를 허용하여 변경할 수 있습니다 .
sshd_config의 매뉴얼 페이지에서 언급 한 바와 같이.
AllowUsers이 키워드 다음에는
공백으로 구분 된 사용자 이름 패턴 목록이 올 수 있습니다 . 지정된 경우, 패턴 중 하나와 일치하는 사용자 이름에 대해서만 로그인이 허용됩니다. 사용자 이름 만 유효합니다. 숫자 사용자 ID가
인식 되지 않습니다 . 기본적으로 모든 사용자가 로그인 할 수 있습니다. 패턴 형식을 취하면USER@HOST다음USER과HOST별도로 점검, 특정 호스트의 특정 사용자로 로그인을 제한. (가) / 허용 지시자는 다음과 같은 순서로 처리 부인 :DenyUsers,AllowUsers,
DenyGroup, 마지막AllowGroups.
답변
기본적으로 SSH server설치되지도 않습니다. openssh-server다른 사람이 SSH에 들어가기 전에 패키지 를 설치해야합니다 .
그런 다음 모든 사용자는 두 가지 검사를 통과해야합니다.
- SSH 인증
- PAM 계정 확인
SSH 인증은 사용자에게 유효한 비밀번호가 /etc/shadow있거나 대상 사용자의 올바른 권한이있는 유효한 SSH 공개 키를 가지고 있음을 의미합니다 ~/.ssh/authorized_keys.
유효한 암호는 crypt(3)매뉴얼 페이지에 자세히 설명되어 있지만 기본적으로 사용자의 두 번째 필드가 /etc/shadow로 시작하는 것이면 $NUMBER$유효하고 아마도 유효 *하거나 또는 !유효하지 않은 경우 유효합니다.
PAM 계정 확인은 기본적으로 계정이 만료되지 않았 음을 의미합니다. 를 사용하여 확인할 수 있습니다 chage -l USERNAME.
그래서 내 지식에 당신의 질문에 대답하기 위해 :
- 설치 마법사 중에 생성 한 루트와 계정 만 새 시스템에 로그인 할 수 있습니다
- 아니요,
www-data해시 비밀번호가*있고~www-data/.ssh/authorized_keys파일 이 없기 때문에 - 여러 요구 사항이 있기 때문에 단일 목록이 없지만 아이디어를 얻으려면 실행을 시도 할 수 있습니다
grep -v '^[^:]*:[!*]:' /etc/shadow