Создание скрипта для «пустого» пароля в / etc / shadow

10094
paddy

Я написал скрипт для добавления пользователей CVS и SVN на сервер Linux (Slackware 14.0). Этот сценарий создает пользователя при необходимости и либо копирует ключ SSH пользователя из существующей учетной записи оболочки, либо генерирует новый ключ SSH.

Просто чтобы быть ясно, счета специально для SVN или CVS. Таким образом, запись /home/$/.ssh/authorized_keysначинается с (на примере CVS):

command="/usr/bin/cvs server",no-port-forwarding,no-agent-forwarding,no-X11-forwarding,no-pty ssh-rsa ....etc...etc...etc...

Настоящий доступ к оболочке никогда не будет разрешен для этих пользователей - они предназначены исключительно для предоставления доступа к нашим исходным репозиториям через SSH.

Моя проблема в том, что когда я добавляю нового пользователя, он получает пустой пароль /etc/shadowпо умолчанию. Это выглядит как:

paddycvs:!:15679:0:99999:7:::

Если я оставлю теневой файл как есть (вместе с !), аутентификация SSH завершится неудачно. Чтобы включить SSH, я должен сначала запустить passwdнового пользователя и ввести что-то.

У меня есть две проблемы с этим. Во-первых, он требует ввода пользователя, который я не могу разрешить в этом скрипте. Во-вторых, он потенциально позволяет пользователю войти в систему на физическом терминале (если у него есть физический доступ, который он мог бы знать, и знает секретный пароль - хорошо, так что это маловероятно).

Я обычно запрещаю пользователям вход в систему, устанавливая их оболочку /bin/false, но если я это сделаю, то SSH тоже не будет работать!

У кого-нибудь есть предложения по написанию этого? Должен ли я просто использовать sedили что-то и заменить соответствующую строку в файле тени на предварительно заданную зашифрованную строку секретного пароля? Или есть лучший способ?

Ура =)

1

5 ответов на вопрос

3
dev-zero

And yet another solution which doesn't involve a pipe is the following (also found in the shadow, resp. shadow-utils package):

usermod -p '*' username
2
user2977819

Ты пытался

passwd -d username

удаляет ввод пароля конкретного пользователя из /etc/shadow file. По сути, создание конкретного пользователя войти в систему как пустой пароль.

Он может быть применен только как пользователь root или sudo.

1
paddy

Ну, я немного поигрался и обнаружил, что если я превращу пароль в *in /etc/shadow, он разрешает SSH, но отключает вход в систему паролей на TTY. Поэтому я добавлю это как ответ на свой вопрос.

Это было добавлено в мой скрипт после useraddвызова:

cp /etc/shadow /etc/shadow.backup sed -e "s/^\($:\)[^:]*:/\1*:/" /etc/shadow.backup > /etc/shadow

Он заменяет запись пароля определенного пользователя на *.

1
tink

Чтобы избежать проблем с блокировкой или испорчением вашего теневого файла, вы можете использовать 

echo username:some_string | chpasswd

Более конкретно: вы могли бы использовать *поле ввода пароля, выполнив это:

echo "username:*" | chpasswd -e
Спасибо, это именно то, что я искал. Гораздо чище, чем мой хак с `sed`, и явно более надежный. paddy 11 лет назад 0
0
MattPark

Newer versions of OpenSSH check /etc/shadow to see if the account is disabled. A disabled account has an !, so changing that to an * will solve the problem.

Похожие вопросы