Как предотвратить удаленный вход в систему, но включить локальное 'su имя пользователя'
Мы пишем приложение (жемчуг, mysql), который будет работать бездисплейный на *, отклоняют (вероятный CENTOS).
Как я могу установить/защитить локального пользователя / пароль для учетной записи 'приложение' (куда приложение будет работать) так, чтобы,
- удаленный ssh-вход-в-систему не возможен
ssh работает, так логины для всех учетных записей, но я должен защитить эту единственную учетную запись - 'su приложение' работает на пользователей с существующими учетными записями
Чем называют такую установку? Я - конечно, не первый, который попробует это, это должно много раз документироваться, но мне не удается найти соответствующие критерии поиска для Google.
Править: Решение
Я добавил строки:
# prevent certain users from using ssh for login
# while retaining the option to 'su username'
DenyUsers app
к/etc/ssh/sshd_config
затем restartet sshd использование
service sshd restart
Я могу теперь войти в систему как 'пользователь' по ssh и 'su приложение' для работы приложением.
2 ответа
поместите всех пользователей в группу 'remote_users' и укажите в Вашем sshd.conf, в который только пользователям от этого группы разрешают войти через ssh:
AllowGroups
This keyword can be followed by a list of group name patterns,
separated by spaces. If specified, login is allowed only for
users whose primary group or supplementary group list matches one
of the patterns. Only group names are valid; a numerical group
ID is not recognized. By default, login is allowed for all
groups. The allow/deny directives are processed in the following
order: DenyUsers, AllowUsers, DenyGroups, and finally
AllowGroups.