Как защитить пользователей системы, которые только запускают процессы приложений?

Question 1

Я создал пользователя системы через команду adduser для использования в приложении, которое я установил. Этот пользователь должен запускать процессы, зависящие от приложения, и такие (подумайте о том, что пользователь системы postgres ничего не делает, кроме запуска связанных с postgres).

Поскольку этот пользователь ничего не делает, кроме ставок на приложение, есть ли чтобы человек не мог войти в систему с этим пользователем? Этот пользователь не является частью каких-либо групп (поэтому мне не нужно беспокоиться о входах ssh или других группах). Я прочитал, что не иметь домашней папки поможет предотвратить вход в систему, но мне нужна домашняя папка для этого пользователя, потому что это то, где я скомпилировал / установил приложение.

Помимо того, что человек не может войти в этот учетной записи пользователя, есть ли другие соображения безопасности?

Question 2

Вам просто нужно заблокировать учетную запись, чтобы не вводить действительный пароль:

sudo passwd -l username

Теперь вход в эту учетную запись с паролем отключен, но вход через su (из процесса запуск с блокировкой разрешений (таких как sudo -i)) или ssh-ключи (которые вы, вероятно, не включены) все равно будут возможны. Я не рекомендую полностью отключать учетную запись, потому что программы, в которых вы нуждаетесь, не могли работать.

Вы можете сделать почти то же самое, отредактировав /etc/shadow с помощью команды sudo vipw -s (vipw блокирует файл для предотвращения коррупции и вызывает ваш любимый редактор CLI) и замену строки после первого двоеточия на !.

 mysysuser:!:15819:0:99999:7:::

Если вы берете второй маршрут, рекомендуется создать резервную копию /etc/shadow (в случай ошибки). Один из способов - sudo cp /etc/shadow /etc/shadow.old. Как только новая конфигурация будет работать, удалите резервную копию (sudo rm /etc/shadow.old), так как это может быть так же плохо, если у вас есть лишние лишние копии хэшей паролей пользователей (после изменения пароля хэш должен исчезнуть, поэтому старые хэши не могут быть чтобы получить доступ к другим системам, где старые пароли могут быть установлены).

guntbert · Answer 1 · 24 May 2018 в 20:03

Вам просто нужно заблокировать учетную запись, чтобы не вводить действительный пароль:

sudo passwd -l username

Теперь вход в эту учетную запись с паролем отключен, но вход через su (из процесса запуск с блокировкой разрешений (таких как sudo -i)) или ssh-ключи (которые вы, вероятно, не включены) все равно будут возможны. Я не рекомендую полностью отключать учетную запись, потому что программы, в которых вы нуждаетесь, не могли работать.

Вы можете сделать почти то же самое, отредактировав /etc/shadow с помощью команды sudo vipw -s (vipw блокирует файл для предотвращения коррупции и вызывает ваш любимый редактор CLI) и замену строки после первого двоеточия на !.

 mysysuser:!:15819:0:99999:7:::

Если вы берете второй маршрут, рекомендуется создать резервную копию /etc/shadow (в случай ошибки). Один из способов - sudo cp /etc/shadow /etc/shadow.old. Как только новая конфигурация будет работать, удалите резервную копию (sudo rm /etc/shadow.old), так как это может быть так же плохо, если у вас есть лишние лишние копии хэшей паролей пользователей (после изменения пароля хэш должен исчезнуть, поэтому старые хэши не могут быть чтобы получить доступ к другим системам, где старые пароли могут быть установлены).

Как защитить пользователей системы, которые только запускают процессы приложений?

1 ответ

Другие вопросы по тегам:

Похожие вопросы: