在Linux系統(tǒng)維護(hù)的過(guò)程中，為了安全起見(jiàn)我們可能需要?jiǎng)?chuàng)建一些普通的而且不需要有shell登陸權(quán)限、需要特殊指定家目錄的賬號(hào)，比如需要給用戶(hù)創(chuàng)建一個(gè)ftp賬戶(hù)不需要有l(wèi)ogin系統(tǒng)的shell權(quán)限。這

在Linux系統(tǒng)維護(hù)的過(guò)程中，為了安全起見(jiàn)我們可能需要?jiǎng)?chuàng)建一些普通的而且不需要有shell登陸權(quán)限、需要特殊指定家目錄的賬號(hào)，比如需要給用戶(hù)創(chuàng)建一個(gè)ftp賬戶(hù)不需要有l(wèi)ogin系統(tǒng)的shell權(quán)限。這時(shí)候?yàn)榱吮ＷC系統(tǒng)安全我們?nèi)绾蝿?chuàng)建我們需要的賬號(hào)，或者創(chuàng)建好了具有l(wèi)ogin-shell的賬戶(hù)如何進(jìn)行修改？

Linux系統(tǒng)賬戶(hù)

在安裝完系統(tǒng)之后，系統(tǒng)會(huì)自動(dòng)建立一批特殊的系統(tǒng)帳戶(hù)，像bin、ftp等，這些賬戶(hù)都屬于系統(tǒng)組的“特殊”帳戶(hù)，他們完成系統(tǒng)賦予他們的特定的功能，而我們自己建立的帳戶(hù)，如：wang、cheng....等都是普通帳戶(hù)，他們?cè)?home下都有自己的主目錄，如：/home/cheng、/home/wang等，而特殊帳戶(hù)是不需要這個(gè)主目錄的或者需要指定家目錄的！普通帳戶(hù)有自己的登錄shell，如：bash、csh...而特殊帳戶(hù)也沒(méi)有shell，從/etc/passwd中可以看到這些帳戶(hù)的區(qū)別。

創(chuàng)建和修改nologin-shell賬戶(hù)

為了保證Linux系統(tǒng)的安全等原因，有時(shí)候需要讓Linux系統(tǒng)用戶(hù)不能登錄服務(wù)器。一個(gè)簡(jiǎn)單的解決方法是配置他們的帳號(hào)，把登錄的shell設(shè)置成/sbin/nologin。要修改一個(gè)已經(jīng)存在的用戶(hù)，執(zhí)行這個(gè)命令：

```bash

usermod -s /sbin/nologin

```

對(duì)新用戶(hù)，可以使用這個(gè)命令：

```bash

useradd -s /sbin/nologin

```

要確保用-D選項(xiàng)把每個(gè)用戶(hù)的登錄shell設(shè)置成缺省的/sbin/nologin（這個(gè)需要在環(huán)境變量中定義一下別名）：

```bash

useradd -D -s /sbin/nologin

```

這樣，在使用useradd增加新用戶(hù)的時(shí)候，就不需要用-s選項(xiàng)指定登錄shell了，缺省的登錄shell就是/sbin/nologin。

這種配置仍然允許這個(gè)用戶(hù)執(zhí)行重要的日常任務(wù)，比如收發(fā)信件，F(xiàn)TP，訪問(wèn)網(wǎng)絡(luò)共享目錄和其他任務(wù)。它只是阻止用戶(hù)登錄服務(wù)器。如果服務(wù)器是一個(gè)主域控制器，用戶(hù)主要在他們的工作站上使用Windows，那么采用這樣的配置是個(gè)好方法。這個(gè)方法也可以阻止因?yàn)橛脩?hù)設(shè)置了脆弱的密碼而導(dǎo)致的非法登錄服務(wù)器的事件發(fā)生。

要?jiǎng)?chuàng)建一個(gè)賬戶(hù)時(shí)不允許賬戶(hù)登錄shell并且指定特定家目錄的命令：

```bash

useradd -d /home/www/other/dalian -s /sbin/nologin

```