Linux

如何創建互動式守護程序登錄?

  • August 20, 2015

我在 debian/linux 機器上執行一項服務,該機器在啟動時執行一個“螢幕”會話,我總是可以附加到該會話。

我想創建一個可以執行此服務的使用者名。目前我使用“正常”登錄帳戶。我想增加一個專用於這個服務的使用者名的安全性(類似於 ’nobody’ 或 ‘web’ 與 apache 一起使用的方式)。

要求:

  • 無法在本地或遠端登錄(因此無需管理密碼)
  • 獲得批准的使用者能夠訪問螢幕會話並與服務互動。

我想該解決方案將創造性地使用 su/sudo 以及如何創建帳戶的詳細資訊。

首先,創建screen會話執行的帳戶(例如稱為screenimage),以及允許使用它的一組使用者(例如screenusers):

adduser --system --group screenimage
addgroup --system screenusers

然後對於每個允許使用它的使用者,將它們添加到screenusers組中:

adduser USER screenusers

然後,將批准的使用者添加到/etc/sudoers:執行visudo並添加該行

%screenusers ALL = (screenimage) /usr/bin/screen

ETA:解決這篇文章的其他答案:--system創建沒有外殼或密碼的帳戶。這sudoers條線意味著使用者只能screen以使用者身份執行screenimage

引用自:https://serverfault.com/questions/2362