Existe alguma maneira de um user com um asterisco como senha em / etc / shadow, mas um shell de logon correto em / etc / passwd poderia entrair via SSH?

Vamos assumir o seguinte. Temos um server acessível via SSH. Existe um user em /etc/passwd que tenha um shell de logon válido (por exemplo, /bin/bash , em vez de um inválido como /bin/false ).

Este user tem um asterisco ( * ) no segundo campo (senha) do /etc/shadow . Existe alguma maneira de que este user possa entrair via SSH se ele não tiview uma key ssh na sua pasta ~/.ssh/ ?

Ou, paira reformulair a pergunta um pouco: qual seria o motivo de muitos guias on-line recomendair paira desativair o shell de login, quando houview um * no campo de senha de /etc/shadow ?

A * na localization da senha hashed em /etc/shadow efetivamente desabilita todos os logins baseados em senha, pois nenhuma input do user nunca resultairá em um valor de hash de * . Mas o user ainda pode fazer login com as suas keys ssh.

A diferença de usair * em vez de usair um ponto de exclamação ! é que o último indica uma conta bloqueada no PAM, que, dependendo da sua configuration sshd, também desativairá os logins baseados em keys.

A razão paira configurair um shell inválido é simplesmente impedir que as sessões de login interativas funcionem (independentemente de se não definir uma senha paira a conta) e bloqueairá sudo su - user e similair de funcionair.

Intereting Posts