Início / unix / Perguntas / 466083
Accepted
Ravexina
Asked: 2018-09-01 09:36:49 +0800 CST

É possível cancelar remotamente um desligamento programado quando existe /run/nologin?

  • 772

Considere este cenário:

  1. Usuário sshem um sistema e faz o que quiser.

  2. Em seguida, agenda um shutdownuso: 

    sudo shutdown -h +1
  3. Finalmente fecha a sessão ssh

Agora /run/nologinfoi criado e ninguém mais pode logar, mas surge algo e queremos sshvoltar ao sistema antes que ele caia.

É possível cancelar remotamente o desligamento programado quando não tivermos mais permissão para fazer login?

ssh shutdown

3 respostas

  1. Best Answer

    Além de usar a conta "root" para fazer uma nova sshconexão, podemos usar o PAM para permitir o login de usuários ou grupos específicos.

    As configurações do PAM sshdestão localizadas em: /etc/pam.d/sshdque são responsáveis ​​pelo que você está procurando.

    Editando este arquivo e usando pam_succeed_if.so, podemos permitir que um usuário ou grupo específico faça login mesmo quando /run/nologinexiste na máquina.

    pam_succeed_if.so foi projetado para ter sucesso ou falha na autenticação com base nas características da conta pertencente ao usuário que está sendo autenticado ou nos valores de outros itens do PAM. Um uso é selecionar se outros módulos devem ser carregados com base neste teste.

    Então, nós o usamos para detectar qualquer módulo que devemos carregar pam_nologin.soou não com base no seu nome de usuário ou grupo de usuários.

    Abra o arquivo usando seu editor de texto favorito:

    $ sudo vi /etc/pam.d/sshd

    E encontre estas linhas:

    # Disallow non-root logins when /etc/nologin exists.
account    required     pam_nologin.so

    Adicione esta linha entre eles:

    account  [default=1 success=ignore] pam_succeed_if.so quiet user notingroup sudo

    Então agora as linhas devem ficar assim:

    # Disallow non-root logins when /etc/nologin exists.
account  [default=1 success=ignore] pam_succeed_if.so quiet user notingroup sudo
account  required     pam_nologin.so

    Agora os usuários que estão em sudogrupo podem fazer login mesmo quando /run/nologinexiste.

    E para permitir um usuário específico:

    account [default=2 success=ignore] pam_succeed_if.so quiet user != username

    Para condições mais flexíveis, confira:

    man pam_succeed_if
    • 11

  2. Se rootpuder acessar remotamente o sistema, nologinserá ignorado. No entanto, a maioria dos administradores sensatos não permitirá rooto login remoto diretamente, em favor de um usuário autorizado que faça login e use sudo. Se o último não for o caso, no entanto, rootpode efetuar login e abortar o desligamento.

    • 3

  3. O nologiné ignorado para o usuário root. Portanto, você pode usar o SSH para se conectar como root, mas provavelmente tem uma distribuição que não permite logins de root por padrão. Você pode criar uma chave SSH e colocá-la em ~root/.ssh/authorized_keys, então você pode fazer login com essa chave como root.

    • 2

relate perguntas