通过pam限制普通用户无密码登陆

最新推荐文章于 2025-05-25 16:45:20 发布
原创 最新推荐文章于 2025-05-25 16:45:20 发布 · 2.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。



1.  修改所有计算节点的 /etc/security/access.conf ,

    加入这一句

    - : ALL EXCEPT root @root : ALL

 

     如果需要恢复的话,只需要将 - : ALL EXCEPT root @root : ALL 注释掉即可。

 


 


2.  修改所有计算节点的/etc/pam.d/sshd

     #account    required     pam_nologin.so  注释掉这句
     account    required     pam_access.so     加入这句

         

      重启机器

      会发现只有root能够无密码登陆,换成普通用户,则提示:

      Connection closed by 192.168.1.1

   

   

基于OpenLDAP和PAM用户登录系统
jlldisaster的博客
04-17 1178
System:Centos 7.6 OpenLDAP:2.4.49 一、简介 1、OpenLDAP OpenLDAP是一款轻量级目录服务器,以较低资源实现大部分目录服务器的功能,因此受到大家欢迎。 2、PAM PAM主要是由一组共享库文件(.so 文件)和一些配置文件组成。当用户请求服务时,具有 PAM 认证功能的应用程序将与这些.so 文件进行交互,以此判断是否可以授权给发起请求的用户来使用服务...
linux禁止普通用户切换至root用户的实例讲解
09-15
通过上述步骤,我们可以有效地限制普通用户直接获得root权限,从而提高了系统的安全性。这并意味着普通用户能执行需要管理员权限的任务,他们仍然可以通过`sudo`命令进行授权操作,但需要提供密码并受到审计记录...
linux su命令免密,使用PAM模块实现普通用户之间su免密切换
weixin_39926016的博客
04-29 1406
这里将告诉您使用PAM模块实现普通用户之间su免密切换,教程操作步骤:参考自:Allow user1 to “su - user2” without password/d/file/shujuku/adcwslioblr需求:在user1用户下执行: su - user2 免密登录。我的实验系统版本:CentOS Linux release 7方法:# vim /etc/pam.d/su#在pam...
ubuntu20.04开启root用户并免密登录
weixin_51867085的博客
08-02 2650
非root用户下命令行是有配色的,切换到root用户就没有颜色了 所以先切换到当前用户目录,把该用户的颜色配置文件复制到root用户下: sudo cp ~/.bashrc /root/.bashrc 然后给root设置初始密码: sudo passwd root 修改/usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf文件内容: sudo gedit /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf 文件末尾
在/etc/pam.d/su下做免密登录
2201_76119904的博客
06-30 520
添加以上两条命令,可以使user1,user3都可以免密登录到user2。添加以上两条命令,可以使user1免密登录到user2。在 pam_rootok.so下添加如下信息。
pam_fido2:Linux的安全无密码身份验证
02-22
PAM Fido2模块(pre-alpha) 该PAM模块为Linux系统提供安全的用户名和无密码登录名。 通过向任何兼容的FIDO2设备发送FIDO2声明请求,并针对每个用户针对一组已注册的公共密钥验证结果声明,来执行用户认证。 重要的! 该软件当前在EARLY ALPHA中。 考虑一下它是一件很酷的事情,当然希望可以坚持使用-但是请要在对安全性要求很高的环境中使用它! 安装 PAM-Fido2模块可以作为软件包安装,也可以从源代码编译。 Arch Linux 该软件包可 的Ubuntu 目前,夜间的Ubuntu版本是WIP。 敬请关注! 从来源 您将需要和来构建项目。 Yubico的libfido2也是一个依赖项,但是被静态编译为生成的可执行文件和库,以最大程度地提高与同系统的兼容性。 # Clone this repository git clone https:/
filezilla client连接后无法读取目录_注意HOME目录权限,避免ssh免密登陆出现问题
weixin_39669163的博客
11-28 718
0x00 打通本机到服务器的免密登陆下面的操作使用的是root用户,先将server端的/etc/ssh/sshd_config配置中PermitRootLogin改为yes. 然后service sshd restart生效.在client端,使用ssh命令进行登录. 这个时候会让我们输入密码.使用ssh-copy-id可以打通到服务器的免密登陆通道.直接使用如下ssh-copy-id命令ssh...
37、用户密码管理与PAM认证机制详解
vim8coder的博客
05-25 66
本文详细介绍了用户密码管理与PAM(Pluggable Authentication Modules)认证机制。内容涵盖密码规则文件的定制、密码破解工具的使用及清理、字典文件的作用以及PAM的组成和配置方法。通过具体示例解析了PAM在Linux系统中的应用,包括`su`和`rlogin`服务的认证流程,并介绍了部分关键模块的功能。最后总结了密码管理与PAM认证机制在系统安全中的重要性,为实际应用提供了配置建议。
Linux系统中限制普通用户切换至root用户的方法
最新发布
07-30
在 Linux 系统中,为提升安全性,有时需限制普通用户直接切换到 root 用户。这可通过修改 PAM(可插拔认证模块)和登录定义文件实现。本文将详细说明如何禁止普通用户使用 su 命令切换到 root 用户的方法。涉及修改...
精选资源
linux(ubuntu)用户连续N次输入错误密码进行登陆时自动锁定X分钟
01-11
even_deny_root 也限制root用户; deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户; unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒; root_unlock_time 设定root用户...
通过PAM限制普通用户绕过torque提交任务到计算节点
云计算?
10-07 511
在川大物理学院实施集群时,发现部分用户绕过torque,从管理节点上通过SSH登陆到计算节点,直接运行程序,占用系统资源的现象。该现象严重影响了集群的正常运行。本文提供两个方法来应对这个现象。 方法一: 实现效果:当用户A在计算节点node1上有作业(由torque+maui.d分配的PBS任务)时,可以SSH到node1。当A在node1上无作业时,无法SSH登陆到node1。 1...
免密登录pam锁定策略
u011409987的博客
09-06 553
1,部分机器第一次登录后,/root/ 目录下 没有 .ssh文件夹。这里的登录次数6 可以结合pam认证 超过多少次 就屏蔽多久。这里的MaxAuthTries 建议和deny 保持一致。备注:主要是红色地方;后面全部默认回车(具体也可以设置密码;一般建议重启后要退出登录界面;3,将密钥导入需要登录的目标机器。
Linux系统生成免密码登录,保姆级教程
11-07 3099
同理,在node2,node3,也可以配置免密登录node1,node2,node3.这里按照上面的步骤,在相应的node节点重新拷贝ssh-copy-id -i id_rsa.pub root@节点,就可以了。2、这里指的node1,node2,node3,是需要在host里面配置的,每台服务器都需要配置相应的。这里就配置成了,node1可以免密登录node1,node2,node3。在node1节点执行ssh node1,node2,ssh node3。一般需要修改什么,就可以直接下一步,下一步了。
PAM】Linux登录认证限制
一如既往
09-23 1648
PAM 提供了一个模块化的认证系统,它由一系列模块和规则组成,来决定用户如何被认证、账户如何管理、密码如何处理以及如何管理用户会话。PAM 系统的设计使得它可以根据需要轻松增加或修改认证方式,而会影响系统上的应用程序。
linux 免密码登录 权限问题,linux 免密登录常见问题
weixin_36459367的博客
04-29 868
1,免密场景很多用户和场景是需要实现机器之间 用户免密登录的。例如hadoop 集群,oracle rac等等。2,常规免密操作 ----- 这种方式最简单直接,但是是2点之间的机器A: 192.168.1.1机器B:192.168.1.2需求:要求在机器A 上可以使用root用户免密登录到机器B(注意,这里登录B 也是使用的root用户)步骤:(1),机器A上创建自己的ssh 秘钥ssh-k...
linux限制,禁止root用户远程登录,开启普通用户免密切换到root用户
热门推荐
绮梦寒宵的博客
08-20 1万+
    root用户作为我们linux中的超级管理员,如果root用户被暴力破解密码劫持,这样对我们的业务来说非常安全,所以在工作中我们一般都是禁止root用户远程登录 思路: 创建一个普通用户,禁止root用户远程登录,只允许普通用户登录,在需要root用户的时候再用su命令切换到root用户,或者也可以用sudo命令来获取root权限执行命令 一、限制root用户远程登录的方法: 打开/etc/ssh/sshd_config文件,找到PermitRootLogin参数,将yes改为no,同系统版本可
Linux-PAM认证模块
qq_55914897的博客
09-06 890
pam_unix验证模块与auth验证类型一起使用时,此模块可以使用的选项有debug、audit、use_first_pass、 try_first_pass、nullok和nodelay,主要功能是验证用户密码的有效性,在缺省情况下(即带任何参数时),该模块的主要功能是 禁止密码为空的用户提供服务;在/etc/pam.d/下的文件中,与服务名称相对应的文件,为该服务的pam验证文件,例如服务为sshd,则在/etc/pam.d下存在 sshd这个文件,里面包含sshd验证规则。
linux 系统禁止普通用户登录的方法
weixin_34113237的博客
09-27 1347
在系统需要维护的时候,希望普通用户登录到系统,需要对普通用户进行配置,其实很简单的,只需要在 /etc 目录下创建一个名为 nologin 的文件,可以在文件中写入一些提示信息,操作也很简单 :创建名为 nologin的文件:touch /etc/nologin 在文件中编辑提示内容:vim /etc/nologin这样普通用户就无法登陆系统了。 ...
linux设置只允许root用户免密登录
R★F的博客
02-28 2751
linux只允许root用户免密登录
backups.sh无密码切换普通用户
03-12
<think>嗯,用户的问题是关于如何配置backups.sh脚本,使得root用户能够无密码切换到普通用户。首先,我需要回想一下Linux系统中权限切换的相关知识。通常,切换到另一个用户需要密码,但用户希望避免这一步,尤其是在脚本中自动执行的时候。 我记得有几种方法可以实现无密码切换。首先想到的是使用sudoers文件配置,允许特定用户无需密码执行某些命令。这可能涉及到visudo编辑,添加NOPASSWD选项。例如,在/etc/sudoers中添加一行如“username ALL=(ALL) NOPASSWD: ALL”,但这可能会有安全风险,需要谨慎处理。用户的需求是root切换到普通用户,可能需要同的方法。 另一个方法是使用su命令的权限设置。在Linux中,su命令默认需要目标用户密码,但如果是root用户,可以修改PAM(Pluggable Authentication Modules)配置来绕过密码验证。具体来说,可以编辑/etc/pam.d/su文件,调整认证规则。比如,注释掉或修改相关的auth required pam_wheel.so行,但这可能太安全,或者需要结合用户组设置。 还有一种方法是使用expect脚本来自动输入密码,但用户可能希望硬编码密码在脚本中,这样会有安全隐患。所以这是最佳选择。 然后想到的是利用ssh密钥认证。如果脚本需要在远程执行命令,可以配置SSH密钥登录,但如果是本地用户切换,可能太适用。过,结合sudo和ssh可能会有帮助。 用户提供的引用中提到修改HOME变量和PATH,这可能与脚本中环境变量有关,需要确保切换用户时环境正确。比如,在su命令中保持环境变量,可能需要使用“-”参数,比如“su - username -c command”。 综合这些思路,最合适的解决方案应该是通过修改sudoers文件,允许root用户无需密码切换到普通用户,或者配置PAM规则。过具体步骤需要详细说明,比如使用visudo添加规则,或者设置wheel组权限。同时需要注意安全性,避免过度授权。 另外,引用中的内容提到crontab的配置和脚本路径问题,这可能与脚本执行时的环境变量有关,需要确保在cron任务中正确设置路径和HOME变量,否则可能导致su或sudo命令找到。所以在脚本中可能需要显式设置环境变量,或者使用绝对路径。 最终,步骤可能包括:1. 配置sudoers允许root无需密码执行su到普通用户;2. 在脚本中使用sudo或su命令切换用户;3. 确保环境变量正确设置,如HOME和PATH。同时,需要提醒用户注意安全风险,避免给普通用户过多的权限。</think>### 如何配置脚本无密码切换到普通用户? #### 1. **使用 `sudo` 配置免密切换** 通过修改 `/etc/sudoers` 文件,允许 `root` 用户无需密码即可切换到普通用户。 **操作步骤:** - 执行 `visudo` 命令编辑配置文件,添加以下内容: ``` root ALL=(普通用户名) NOPASSWD: ALL ``` - 在脚本中使用 `sudo -u 普通用户 命令` 实现切换: ```bash #!/bin/bash sudo -u username /path/to/command # 无需密码直接执行 ``` #### 2. **通过 `su` 命令结合 PAM 配置** 修改 PAM(Pluggable Authentication Modules)规则,允许 `root` 用户免密切换到普通用户。 **操作步骤:** - 编辑 `/etc/pam.d/su` 文件,注释或修改以下行(需谨慎操作): ``` #auth required pam_wheel.so use_uid ``` - 在脚本中使用 `su - username -c "command"` 切换用户: ```bash #!/bin/bash su - username -c "/path/to/command" # 无需输入密码 ``` #### 3. **使用 SSH 密钥认证(适用于远程场景)** 若需远程执行命令,可通过 SSH 密钥实现无密码登录。 **操作步骤:** - 生成密钥对:`ssh-keygen -t rsa` - 将公钥追加到普通用户的 `~/.ssh/authorized_keys` 文件 - 在脚本中使用 `ssh` 命令: ```bash #!/bin/bash ssh username@localhost "/path/to/command" # 基于密钥认证执行 ``` #### 4. **环境变量注意事项** 确保脚本中 `HOME` 和 `PATH` 变量正确指向目标用户的配置,例如: ```bash #!/bin/bash export HOME=/home/username # 关键配置,避免权限问题[^1] sudo -u username /path/to/command ``` #### 安全风险提示 - 避免过度授权:`NOPASSWD: ALL` 可能导致安全漏洞,建议限制具体命令[^3] - 定期审计权限:检查 `/etc/sudoers` 和 PAM 配置的合理性 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值