Restricționați unii utilizatori Linux locali pentru a nu putea face nimic pe mașină

Marty Cagas

07.07.2023, 12:23

Pe scurt, pun la cale o Porumbar server de mail. Inițial, intenționam să folosesc utilizatori virtuali pentru autentificarea IMAP/POP3 - practic făcându-l pe Dovecot să-și arate propriii utilizatori într-un spațiu separat passwd fișier, ceea ce înseamnă că utilizatorii noștri de e-mail nu ar putea accesa mașina în sine. Este de preferat, dar s-a dovedit a fi destul de durere de gestionat. Este supărător, pentru că una dintre cerințele care mi s-au dat este o simplă administrare și orice altceva Adăugați utilizator nu este considerat simplu.

Așadar, am început să caut un alt mod de a autentificare a utilizatorilor în Dovecot și care este utilizarea propriului PAM Linux. Un utilizator de e-mail este căutat în propriul aparat /etc/passwd baza de date și autentificat împotriva /etc/shadow hash parolei automat. Acest lucru ar însemna, de asemenea, că utilizatorii ar putea fi adăugați, modificabili și detașabili folosind setul implicit de instrumente Linux pentru acest job.

Ar fi perfect simplu de gestionat, cu excepția faptului că trebuie să-l fac și sigur. Aș dori să restricționez complet accesul utilizatorilor de e-mail la serverul de e-mail în sine. Nu le permiteți să se conecteze prin SSH, nu le permiteți să se conecteze local. Nici ei nu ar avea nevoie de un director principal, deoarece e-mailurile sunt stocate într-o locație separată. Mărimea companiei ar însemna aproximativ 30 de utilizatori de e-mail în plus și sigur de spus, nu am încredere în ei cu parolele lor - vor fi reutilizați, vor fi scurși. Dacă merg pe această cale, trebuie să securizez serverul împotriva ei.

Aceasta este ideea mea despre ce să fac până acum:

Creați un singur utilizator normal, non-root pentru administrare (și autentificare SSH) cu un director principal etc., denumiți-i administrator, de exemplu.
În /etc/ssh/sshd_config a stabilit Administrator AllowUsers pentru a interzice tuturor celorlalți să încerce să se autentifice prin SSH.
Adăugați un grup de utilizatori de e-mail addgroup mailusers.
Creați noi utilizatori de e-mail folosind adduser --shell /sbin/nologin --no-create-home --ingroup mailusers (și eventual alias-o la o comandă ca addmailuser pentru o utilizare ușoară).

Acum intrebarile mele sunt:

Utilizarea autentificării PAM este o practică acceptabilă în general?
Sunt suficiente măsurile de precauție pe care le-am subliniat?
Și dacă nu sunt, lista lucrurilor pe care le-am uitat este exhaustivă sau există prea mult potențial pentru probleme viitoare, ar fi mai bine să renunț la această abordare și să optez pentru o altă soluție?

0 + 0

conturi de utilizator

rhel8

rocky-linux

SEF 777

întrebarea această in alte limbi:

EN: Restrict some local Linux users to not be able to do anything on the machine

TH: จำกัดผู้ใช้ลีนุกซ์ในเครื่องบางคนไม่ให้ทำอะไรบนเครื่องได้

RO: Restricționați unii utilizatori Linux locali pentru a nu putea face nimic pe mașină

RU: Ограничить некоторых локальных пользователей Linux, чтобы они не могли ничего делать на машине

VI: Hạn chế một số người dùng Linux cục bộ không thể làm gì trên máy

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.