科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道系统安全:快速安全地建立Linux用户账户

系统安全:快速安全地建立Linux用户账户

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

理想的情况是创建用户账户,获得用户的SSH公钥,并为用户创建一个随机口令,用户登录之后立即修改这个口令。

作者:赛迪网 来源:赛迪网 2007年10月4日

关键字: OpenSSH Sudo程序 系统安全

  • 评论
  • 分享微博
  • 分享邮件

如果你需要建立一个用户账户,使其可对系统外壳进行访问,那么对登录工具的唯一逻辑选择就是OpenSSH。你所需要的只是用户的公钥(public key),用户只需要你的IP地址或者是主机名(用户需要靠此登录)。通常情况下,这就足够了。

有时,用户可能需要知道其口令是什么。如果用户需要使用Sudo程序,就需要通过口令进行身份验证。理想情况下,这种信息是通过电话或者加密的电子邮件提供的,不过这个口令自身有时会通过明文或者纯文本的电子邮件提供。

理想的情况是创建用户账户,获得用户的SSH公钥,并为用户创建一个随机口令,用户登录之后立即修改这个口令。这些都很容易完成。

对于用户,这是相当简单的。要创建一对公/私钥,只需执行:

$ ssh-keygen -t dsa

你还应该让用户发送~/.ssh/id_dsa.pub文件。在服务器端,事情也并不太困难。首先,你要创建用户账户:

# useradd -c "Joe User" -s /bin/bash -m joe # openssl rand -base64 6 | tee -a ~joe/.password | passwd -stdin joe

这就创建了一个用户joe,并且为它分配了一个随机口令,并将同样的口令存储在~joe/.password中,在这里joe可以看到其口令。

如果你通过/etc/ssh/sshd_config锁定了账户,一定要记住增加下面的命令,来允许joe访问系统:

AllowUsers joe

此外,还要将PasswordAuthentication设为no,强制所有的登录都要使用公钥。

最后,一定要将id_dsa.pub密钥复制到用户的主目录中,并且分配适当的所有权和权限:

# mkdir ~joe/.ssh # chmod 700 ~joe/.ssh # cp id_dsa.pub ~joe/.ssh/authorized_keys # chmod 600 ~joe/.ssh/authorized_keys # chown -R joe:joe ~joe/.ssh

好了,全部搞定。现在用户可以使用其SSH私钥来登录,而且能够访问Sudo或者需要一个实际的口令来进行身份验证。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章