Deshabilite el inicio de sesión de un usuario sin deshabilitar la cuenta

Digamos que creo un usuario llamado "falso" usando el addusercomando. ¿Cómo puedo asegurarme de que este usuario NO sea una opción de inicio de sesión viable, sin deshabilitar la cuenta? En resumen, quiero que se pueda acceder a la cuenta a través de su - bogus, pero no quiero que sea accesible a través de un mensaje de inicio de sesión regular.

Al buscar, parece que necesito deshabilitar la contraseña de ese usuario, pero hacerlo passwd -d bogusno ayudó. De hecho, empeoró las cosas, porque ahora podía iniciar sesión en falso sin siquiera escribir una contraseña.

¿Hay alguna manera de deshabilitar los inicios de sesión regulares para una cuenta determinada?

Nota: Para ser claros, sé cómo eliminar a un usuario de las opciones de menú de las pantallas de inicio de sesión gráficas, como gdm, pero estos métodos simplemente ocultan la cuenta sin inhabilitar el inicio de sesión. Estoy buscando una forma de deshabilitar el inicio de sesión normal por completo, incluido el modo de texto.

passwd -l user

es lo que quieres

Eso bloqueará la cuenta de usuario. Pero aún podrás

su - user

pero tendrás que hacerlo su - usercomo root.

Alternativamente, puede lograr lo mismo anteponiendo a !a la contraseña del usuario /etc/shadow(esto es todo passwd -ldetrás de escena). Y passwd -udeshacerá esto.

La página de manual de passwd(1)dice sobre passwd -l:

Tenga en cuenta que esto no deshabilita la cuenta. El usuario aún puede iniciar sesión con otro token de autenticación (por ejemplo, una clave SSH). Para deshabilitar la cuenta, los administradores deben usar usermod --expiredate 1 (esto establece la fecha de vencimiento de la cuenta al 2 de enero de 1970).

Entonces

usermod --expiredate 1 [LOGIN]

Me parece la forma correcta de deshabilitar una cuenta que un usuario ya no debería poder usar (por ejemplo, porque dejó la empresa).

Hay dos métodos para evitar que un usuario pueda iniciar sesión:

1. puedes bloquear al usuario editando /etc/passwd
2. directamente emitiendo el passwdcomando con el -linterruptor

En el segundo caso, el usuario puede iniciar sesión utilizando otro token de autenticación (por ejemplo, una clave SSH).

Método 1

1. Encuentre dónde está nologin: / bin / nologin o / bin / sbin / nologin
2. Abra una terminal e inicie sesión como root
3. Tipo vi /etc/passwd

Ahora está en el passwdarchivo, presione Inspara editar el archivo.

Cambie la línea a continuación con la nologinopción ( /bin/bashsignifica que el usuario puede iniciar sesión).

root:x:0:0:root:/root:/bin/bash

a esto. nologinsignifica que el usuario no puede iniciar sesión.

root:x:0:0:root:/root:/bin/nologin

(o con / bin / sbin / nologin)

4. Cierra el vi Esc :wq

Método 2

Para bloquear al usuario: passwd -l username

Para desbloquear usuario: passwd -u username

Es una tarea bastante fácil, simplemente tiene que hacer algunos cambios en el /etc/passwdarchivo.

Simplemente tiene que cambiar el shell, que generalmente es por defecto, /bin/bashes decir, puede iniciar sesión con este shell, cámbielo a /bin/nologino /bin/false. Es recomendable cambiarlo a /bin/nologinporque /bin/falseestá desactualizado.

Establecer /bin/falsecomo un shell en/etc/passwd

Cuando bloqueamos al usuario usando el passwd -l usercomando, " !!" se indican en el /etc/shadowarchivo. Pero aún podemos cambiar a un shell de usuario desde la cuenta raíz, pero no podemos cambiar a la cuenta de usuario por el shell de inicio de sesión de otros usuarios normales.

También podemos desactivar la cuenta proporcionando /bin/nologino /bin/falseen el /etc/passwdarchivo. Por lo tanto, es posible que el usuario no pueda iniciar sesión.

Puedes usar el comando

usermod -s /sbin/nologin username