Timeout e restrição no login via console
Bem se a unica forma é mudando o shell otimo, não precisa ficar repetindo o tempo todo pois ISSO EU SEI FAZER, mas NÃO me é util... façam o FAVOR de tentar entender o que eu escrevi... pois o que eu não preciso é de um wannabe que não entendeu porra nenhuma com uma foto de paspalho ficar soltando piadinha sem entender.
Vou DESENHAR pela ultima vez, se ainda assim não entenderem a utilidade, desisto...
1) Tenho base LDAP com 2000 usuarios, todos com BASH e todos PRECISAM de BASH no shell, TODOS, ok? Já que TODOS logam nas suas respectivas estações Linux... certo? Dentro desses 2000 usuarios, tenho Domain Users e Domain Admins..etc
2) Tenho 4 servidores que autenticam os usuarios nessa mesma base LDAP de 2000 usuarios. via SSH consigo dizer que nesses 4 servidores apenas A, B e C(usuarios admins), logam no servidor via SSH (graças ao allowusers) apesar de 2000 terem BASH. Até ai OTIMO.
3) O que eu quero é MUITO simples: É que TODOS esses 2000 usuarios continuem com seus BASHs, e assim como no SSH eu possa dizer que apenas A, B e C, possam logar na frente do servidor, no console, com as mãozinhas no teclado, pois via ssh tá ok, só loga quem eu quero. Mas por questões de segurança não quero nem que em uma remota possibilidade um usuario qualquer possa logar em algum desses servidores com o usuario dele por mais que ele não consiga fazer "quase nada".
Não é muito dificil de entender, ou é? 2000 usuarios PRECISAM de BASH, mas não quero que esses 2000 loguem no servidores que autenticam na mesma base, quero apenas que 3 loguem no console, porque via SSH isso já está OK.
ps: Agora se não sabem se tem outra forma de resolver é só falar "Não tem como fazer (ponto)" ou "Não sei se tem outro jeito". Agora se não quiserem ajudar, basta não responder, mas também não venham com babaquisse, tou pedindo ajuda para quem sabe responder e tem vontade, ou quem já quis manter um nivel decente de segurança em uma estrutura semelhante e implementou algo parecido.... Agora se for pra aparecer "gente" que nem esse ai querendo aparecer, melhor nem responder.
mudando de gato pra sapato
Citação:
Postado originalmente por 1c3_m4n
E novamente vamos falar, vc tem que alterar o bash dele no arquivo de senhas! não tem outra maneira pra bloquear acesso local
como fazer isso?
abre o arquivo com seu editor preferido e altere onde tem /bin/bash para /sbin/nologin
se não quiser editar 1 por 1, da pra fazer uma substituicao por sed, mas ai vc vai ter q filtrar os usuarios que vc nao quer q percam o acesso.
mudando de gato pra sapato, se eu tenho arkivos que tinha ç e foram "zuados" pra |, o SED eh bom pra renomear de volta pra ç ?
Timeout e restrição no login via console
Andre quem num ta entendendo aqui eh vc, jah falamos que NAO DA PRA DESABILITAR LOGIN LOCAL SEM TIRAR O BASH.
e pq seus usuarios precisariam de bash no servidor????? pelo q vc descreveu nao tem necessidade alguma..
Timeout e restrição no login via console
Citação:
Postado originalmente por 1c3_m4n
Andre quem num ta entendendo aqui eh vc, jah falamos que NAO DA PRA DESABILITAR LOGIN LOCAL SEM TIRAR O BASH.
e pq seus usuarios precisariam de bash no servidor????? pelo q vc descreveu nao tem necessidade alguma..
Otimo não dá para desabilitar.
Cara, não sei como ser mais claro do que já fui a respeito desse assunto, mas..
Pergunta: "pq seus usuarios precisariam de bash no servidor????? "
Resposta: E não precisam! Bem, acho até que entendi o problema... vocês tão meio enferrujados em LDAP ou sou eu que tou ficando doido. Bem... como eu já disse umas 4 outras vezes, os usuarios não precisam de bash no servidor, mas precisam de bash nas estações que eles trabalham... agora o que pelo jeito vocês não entenderam, é que os shell dos usuarios de uma base LDAP não ficam no /etc/passwd na estação localmente... e sim na propria base LDAP junto com o home do usuario, uid, gid, grupos e etc... então, toda maquina, estação ou servidor que autenticar nessa base LDAP, vai ter a base dos usuarios relacionados a ela, permitindo a autenticacao dos mesmos, trazendo junto usuario, senha, home, shell, gid, uid e etc... ou seja, no servidor não é só editar o /etc/paswd... eu teria que mudar na base LDAP o que significa mudar para todo mundo, sendo que não posso fazer isso, pois os usuarios logam em suas estações linux...
Timeout e restrição no login via console
Eu não uso ldap mesmo, mas mudar a base deles no servidor não é pra influenciar na maquina local deles, vc jah testou?? desabilita de um e ve se vai acontecer alguma coisa