/ sbin / nologin和/ bin / false之间有什么区别？

#1 楼

/bin/false是一个实用程序，是/bin/true的附带软件，从某种抽象意义上讲，它可以确保UNIX功能完整。但是，已经发现这些程序的紧急用途。考虑BASH语句/some/program || /bin/true，无论$? = 0的返回如何，该语句始终会布尔值评估为true（/some/program）。

您所标识的/bin/false的紧急使用对于用户而言是空壳，允许登录。在这种情况下，系统将完全像外壳程序无法运行那样运行。

POSIX（尽管我可能错了，可能是SUS）限制了这两个命令的执行

/sbin/nologin是一个BSD实用程序，其行为与/bin/false类似（返回布尔值false），但也打印输出，因为/bin/false被禁止这样做。这样做可以帮助用户理解发生了什么，尽管实际上许多终端仿真器会在shell终止时简单地关闭，在某些情况下反而使消息几乎不可读。 /sbin/nologin中的/etc/shells。 /etc/shells的标准效果是列出用户更改自己的shell时允许与chsh一起使用的程序（并且没有可信的理由将自己的shell更改为/sbin/nologin）。超级用户可以将任何人的外壳更改为任何东西。但是，您可能希望在/sbin/nologin中列出/bin/false和/etc/rsh，这将禁止具有这些shell的用户在不幸的情况下使用chsh更改其shell。

FTP守护程序可能禁止使用不在/ etc / shells中的shell的用户访问，或者它们可以使用他们希望的任何其他逻辑。在任何情况下都应避免运行FTP，因为sftp（提供相似的功能）相似但安全。一些站点使用/sbin/nologin禁用外壳程序访问，同时通过将其放入/etc/shells来允许sftp访问。如果允许用户创建cronjob，则可能会打开后门。

无论哪种情况，scp都不能在无效的Shell上运行。在这种情况下，可以将scponly用作外壳程序。

另外，外壳程序的选择会影响su -（AKA su -l）的操作。特别是，如果是外壳，则/sbin/nologin的输出将被打印到stdout； /bin/false可能不是这种情况。在这两种情况下，使用su -cl运行的命令都将失败。

最后，答案是：

要禁用帐户，请不要依赖这两个方法，而是将shell设置为/sbin/nologin以供参考。目的（除非/sbin/nologin位于/etc/shells中，此时应使用/bin/false，不应使用）。而是将/etc/passwd中的password字段设置为!，由crypt保证该字段对于没有密码有效。考虑以相同的方式在/etc/shadow中设置散列，以避免出现错误。 passwd -l将为您执行此操作。

禁用帐户的第三种方法是将帐户到期日期字段设置为古代日期（例如usermod --expiredate 1）。如果您的设置允许用户无需密码就可以通过其unix帐户进行身份验证并且所使用的服务不需要外壳，则这将防止登录。

#2 楼

在对此进行了一些研究之后，您使用的方法取决于您必须锁定的内容。如果用户使用此设置登录到Shell，那么他们将收到一条显示为This account is currently unavailable.的消息。请注意，您可以通过至少在RHEL派生文件上创建文件/etc/nologin.txt来更改此设置。

如您所知/bin/false不是外壳。它们的工作方式是返回false，在二进制退出后立即注销。请注意，/bin/true会达到相同的效果。

关于FTP问题：是的，您的正确做法是，将shell设置为/sbin/nologin将允许用户登录FTP，而/bin/false或/bin/true则将完全阻止FTP用户登录到任何服务。

因此，/bin/false或/bin/true最好是防止用户登录任何服务，而/sbin/nologin仍将允许用户登录SSH或本地控制台以外的服务，同时向用户提供有关该帐户的反馈是不活动的，最好在仅需要锁定SSH /本地控制台的情况下使用。

#3 楼

嗯，有人试图证明/ bin / false会禁止FTP访问吗？

我刚刚将用户的shell更改为/ bin / false，并且能够正常使用FTP。

我使用/ dev / null完全锁定了用户（好吧，除了电子邮件，他们仍然可以POP3）。