Unix/Linux系統(tǒng)下的nobody用戶是什么���?
1��、Windows系統(tǒng)在安裝后會(huì)自動(dòng)建立一些用戶帳戶��,在Linux系統(tǒng)中同樣有一些用戶帳戶是在
系統(tǒng)安裝后就有的�,就像Windows系統(tǒng)中的內(nèi)置帳戶一樣���。
2、它們是用來完成特定任務(wù)的,比如nobody和ftp等���,我們?cè)L問LinuxSir.Org的網(wǎng)頁程序時(shí),官網(wǎng)的服務(wù)器就是讓客戶以'nobody'身份登錄的(相當(dāng)于Windows系統(tǒng)中的匿名帳戶);
我們匿名訪問ftp時(shí)����,會(huì)用到用戶ftp或nobody�。
3����、首先�����,nobody是一個(gè)普通用戶����,非特權(quán)用戶��。 使用nobody用戶名的'目的'是�,使任何人都可以登錄系統(tǒng)�����,但是其 UID 和 GID 不提供任何特權(quán)�,即該uid和gid只能訪問人人皆可讀寫的文件��。
4�、其次�����,許多系統(tǒng)中都按慣例地默認(rèn)創(chuàng)建一個(gè)nobody���,盡量'限制它的權(quán)限至最小',當(dāng)服務(wù)器向外服務(wù)時(shí)�,可能會(huì)讓client以nobody的身份登錄���。
5���、nobody就是一個(gè)普通賬戶�,因?yàn)槟J(rèn)登錄shell是'/sbin/nologin'�����,所以這個(gè)用戶是無法直接登錄系統(tǒng)的,也就是黑客很難通過漏洞連接到你的服務(wù)器來做破壞�。此外這個(gè)用戶的權(quán)限也給配置的很低。因此有比較高的安全性����。一切都只給最低權(quán)限�����。這就是nobody存在的意義。
Unix/Linux系統(tǒng)下用戶shell為/sbin/nologin是什么意思���?
如果一個(gè)用戶的默認(rèn)shell設(shè)置為/sbin/nologin 則這個(gè)用戶是禁止登陸系統(tǒng)的;
這個(gè)nologin的作用就是限制某些用戶通過ssh登陸到shell上�。
比如日?��?梢詫?nginx mysql php-fpm這些應(yīng)用的用戶默認(rèn)shell設(shè)定為/sbin/nologin
主要是提升系統(tǒng)安全性
系統(tǒng)賬號(hào)的shell使用 /sbin/nologin ,此時(shí)無法登陸系統(tǒng)���,即使給了密碼也不行��。
所謂“無法登陸”指的僅是這個(gè)用戶無法使用bash或其他shell來登陸系統(tǒng)而已,并不是說這個(gè)賬號(hào)就無法使用系統(tǒng)資源����。舉例來說��,各個(gè)系統(tǒng)賬號(hào)中,打印作業(yè)有l(wèi)p這個(gè)賬號(hào)管理,www服務(wù)器有apache這個(gè)賬號(hào)管理�,他們都可以進(jìn)行系統(tǒng)程序的工作��,但就是無法登陸主機(jī)而已���。
有時(shí)候有些服務(wù),比如郵件服務(wù)�,大部分都是用來接收主機(jī)的郵件而已,并不需要登陸�。假如有賬號(hào)試圖連接我的主機(jī)取得shell��,我們就可以拒絕��。
有時(shí)可以用使用 /etc/nologin 文件臨時(shí)禁止其他用戶登錄,具體做法是在/etc/目錄下創(chuàng)建一個(gè)名稱為 nologin 的文件�����。
例如:
這樣將禁止隨后的用戶登錄到系統(tǒng)中。
禁止用戶登錄時(shí),/etc/nologin 文件中的內(nèi)容將會(huì)顯示給用戶��,會(huì)一閃而過�����。
例如�����,在 /etc/nologin文件中加入以下內(nèi)容:
#vi /etc/nologin
disable login by admin temperarily!
當(dāng)用戶試圖登陸時(shí)�,將會(huì)給用戶顯示"disable login by admin temperarily!"����,當(dāng)系統(tǒng)維護(hù)結(jié)束以后���,再刪除/etc/nologin文件�,其他用戶就又可以恢復(fù)登陸了����,這只是限于能登陸shell的用戶來說的
對(duì)于那些登陸shell為/sbin/nologin的用戶來說沒有影響���,因?yàn)樗麄儽旧砭蜔o法登陸shell��。
另外�����,如果我想要讓某個(gè)具有 /sbin/nologin 的用戶知道,他們不能登陸主機(jī)時(shí)�,可以新建 /etc/nologin.txt 這個(gè)文件���,在文件內(nèi)面寫上不能登陸的原因���,當(dāng)用戶登錄時(shí)�����,屏幕上就會(huì)出現(xiàn)這個(gè)文件里面的內(nèi)容����。
例如:
#vi /etc/nologin.txt
This account is system account or mail account.
#su - mail
會(huì)提示"This account is system account or mail account."
補(bǔ)充:
/etc/nologin 和/etc/nologin.txt這兩個(gè)文件的作用并不相同�����。
當(dāng)/etc/nologin文件存在時(shí)�����,則任何一個(gè)一般身份帳號(hào)在嘗試登入時(shí)����,都僅會(huì)獲得/etc/nologin的內(nèi)容,而無法直接登入主機(jī)�。
即當(dāng)建立/etc/nologin ��,并且內(nèi)容設(shè)定為『This Linux server is maintaining....』��,則任何嘗試登錄者����,會(huì)看到這些提示內(nèi)容���,而不能登錄進(jìn)系統(tǒng)。
直到刪除/etc/nologin文件后��,一般用戶才可以正常登錄�����。
總結(jié):
nobody是linux/unix系統(tǒng)下的匿名用戶���,只能訪問服務(wù)器上的公共內(nèi)容
/sbin/nologin是linux/unix系統(tǒng)下的一種shell設(shè)置項(xiàng)對(duì)于登陸shell為/sbin/nologin的用戶是不允許登錄系統(tǒng)的
/etc/nologin.txt只針對(duì)shell為/sbin/nologin的用戶
/etc/nologin可以理解為針對(duì)所有普通用戶
