Quais usuários têm permissão para fazer login via SSH por padrão?


18
  1. Quando eu configurei o meu Debian 6, fiquei pensando: quais usuários além do root cuja senha eu sei pode fazer login no meu sistema via SSH?

  2. Quando instalo o Apache 2, um usuário chamado www-data é criado. Esse usuário tem o direito de fazer login no meu sistema via SSH? Mas se houvesse alguma senha padrão para www-data, todos poderiam entrar, parece improvável para mim.

  3. Onde tenho uma lista em que usuários têm permissão para fazer login no meu sistema via SSH? Não foi possível encontrar nada nos arquivos de configuração do ssh.

Respostas:


20

Paradeepchhetri não está exatamente correto.

O Debian não modificado sshd_configpossui o seguinte:

PubkeyAuthentication yes
PermitEmptyPasswords no
UsePAM yes

Portanto, o login via ssh funcionaria apenas para usuários que possuem um campo de senha preenchido /etc/shadowou uma chave ssh ~/.ssh/authorized_keys. Observe que o valor padrão para PubkeyAuthenticationé yese para PermitEmptyPasswordsé no, portanto, mesmo que você os remova, o comportamento será o mesmo.

No exemplo da pergunta, www-datapor padrão, não será permitido efetuar login, pois o instalador do Debian não atribui uma senha nem cria uma chave para www-data.

pam_access, AllowUserse AllowGroupsin sshd_configpode ser usado para um controle mais preciso, se necessário. No Debian é fortemente encorajado a fazê-lo UsePAM.


10

Por padrão, o login é permitido para todos os usuários no Debian.

Você pode alterá-lo, permitindo que certos usuários possam efetuar login editando o /etc/ssh/sshd_configarquivo.

Conforme mencionado na página de manual do sshd_config.

AllowUsers

Essa palavra-chave pode ser seguida por uma lista de padrões de nome de usuário, separados por
espaços. Se especificado, o login é permitido apenas para nomes de usuários que correspondem a um dos padrões. Somente nomes de usuário são válidos; um ID numérico do usuário não é
reconhecido. Por padrão, o login é permitido para todos os usuários. Se o padrão toma a forma USER@HOSTseguida USERe HOSTsão verificados separadamente, restringindo logins para usuários específicos em máquinas específicas. A permitir / negar directivas são processados na seguinte ordem: DenyUsers, AllowUsers, DenyGroup, e, finalmente, AllowGroups.


Eu adicionei "no Debian" no caso de alguém aparecer e ler o título e a resposta da pergunta sem ler a pergunta em si. A resposta geral para o título da pergunta é "depende do conteúdo do sshd_configarquivo enviado ". Alguns SOs são enviados com login raiz sobre SSH não permitido, por exemplo.
Warren Young.

Obrigado, mas, obviamente, por padrão, apenas o root pode fazer login, pois ele é o único com uma senha no / etc / shadow.
precisa saber é o seguinte

7

Por padrão, SSH servernem está instalado. Você precisaria instalar o openssh-serverpacote antes que alguém pudesse fazer o SSH.

Depois disso, qualquer usuário precisa passar em duas verificações:

  • Autenticação SSH
  • Verificações de conta PAM

Autenticação SSH significa que o usuário deve ter uma senha válida /etc/shadowou uma chave pública SSH válida com as permissões corretas no usuário de destino ~/.ssh/authorized_keys.

As senhas válidas são descritas mais adiante na crypt(3)página de manual, mas basicamente se o segundo campo do usuário /etc/shadowfor qualquer coisa que comece com $NUMBER$, provavelmente é válido e se é *ou !é inválido.

As verificações de conta PAM basicamente significam que a conta não expirou. Você pode verificar isso usando chage -l USERNAME.

Então, para responder às suas perguntas, que eu saiba:

  1. Somente a raiz e a conta que você cria durante o assistente de instalação podem efetuar login em um novo sistema
  2. Não, porque www-datapossui uma senha com hash *e não há ~www-data/.ssh/authorized_keysarquivo
  3. Não existe uma lista única, porque existem vários requisitos, mas para ter uma ideia, você pode tentar executar grep -v '^[^:]*:[!*]:' /etc/shadow

11
Tenha cuidado, a senha vazia é uma senha válida, mas, como indicou Bahamat , a configuração padrão do SSH (e a configuração padrão do Debian) não permite o login do SSH para contas de senha vazias.
Totor 25/03
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.