Ho visto pochi amministratori di sistema usare /sbin/nologin
e pochi usano /bin/false
per negare l'accesso alla shell a un particolare utente nelle macchine Unix. Ma mi chiedevo qual è la differenza tra /bin/false
&/sbin/nologin
e qual è il modo giusto per negare l'accesso a una shell a un utente. Bene, questo tutorial spiegherà qual è la differenza tra /bin/false &/sbin/nologin .
Qual è la differenza tra /bin/false e /sbin/nologin?
Prima di tutto, devo dire che in termini di funzionalità non c'è differenza tra /bin/false
&/sbin/nologin
. Significa che entrambi negano a una shell l'accesso a un particolare account utente.
Utilizzo generale di /sbin/login e /bin/false
test:x:2935:2936::/home/test:/sbin/nologin
test:x:2935:2936::/home/test:/bin/false
Ma c'è una leggera differenza –
/bin/false
non fa nulla ed esce semplicemente con un codice di stato che indica un errore quando un utente tenta di accedere alla macchina. Non genera alcun messaggio che indichi che l'account utente non ha accesso alla shell.
Considerando che /sbin/nologin
nega educatamente un accesso alla shell per un particolare account utente ed esiste con un codice di stato diverso da zero. Ad esempio, quando un account utente è impostato su /sbin/nologin
come shell, quindi nologin
visualizza "Questo account non è attualmente disponibile '.
#su - test This account is currently not available.
nologin
può anche leggere un messaggio personalizzato da /etc/nologin.txt
, se presente.
#vim /etc/nologin.txt
Inserisci un messaggio personalizzato dicendo "Questo non è un account di accesso valido - Amministratore “.
Entrambi /bin/false
&/sbin/nologin
registrerà i tentativi di accesso in /var/log/secure
.
Oct 26 09:43:37 test.tg.in su: pam_unix(su-l:session): session opened for user test Oct 26 09:43:37 test.tg.in su: pam_unix(su-l:session): session closed for user test
Guardando le pagine man di nologin e falso .
# man nologin # man false
Ulteriori informazioni sulle best practice per la protezione del sistema operativo, del database, del server Web e di WordPress .
nologin o false, che è meglio?
false
è un approccio tradizionale, che è venuto molto prima di nologin
. /sbin/nologin
ha la possibilità di visualizzare un messaggio personalizzato, quindi qualsiasi amministratore vorrebbe usarlo. In termini di funzionalità, entrambi fanno lo stesso di non consentire l'accesso alla shell.
Per impostazione predefinita MySQL viene eseguito come utente mysql con accesso alla shell /bin/bash. Perché? Impara qui
Allora quale stai usando? Dicci nella sezione commenti.