Linux nologin - 如何在 Linux 中禁用用户登录

在某些时候，系统管理员需要禁用 Linux 系统上的用户帐户。这可以通过 Linux nologin 技术来实现。禁用用户帐户的一些常见原因是由于某些可疑的用户活动，或者可能是由于用户的工作合同终止。

就整体系统安全而言，仅启用系统或公司运行所需的用户登录始终是一个好主意。本教程探讨了如何在任何 Linux 发行版上禁用用户帐户的一些方法。

在本教程中您将学习：

• 如何使用 nologin 禁用用户帐户

• 如何使用 false 和其他 shell 禁用用户帐户

• 如何使用 usermod 和 /etc/shadow 禁用用户帐户

通过 nologin 禁用用户帐户

nologin shell 位于/sbin/nologin。在某些系统上，此 shell 也可能位于 /usr/sbin/nologin。无论哪种方式，它都是同一个文件，并且将提供相同的功能。

要将用户的 shell 设置为 nologin，您可以使用 usermod 命令以及 -s 或 --shell 选项，如下面的语法所示。在此示例中，我们为用户 linuxconfig 设置 shell。

# usermod linuxconfig -s /sbin/nologin

从那时起，当用户尝试登录时，他们将看到以下消息：

This account is currently not available.

使用 false 和其他 shell 禁用用户帐户

还有更多可用的 shell，其功能与 /sbin/nologin 类似。最有名的可能是 /bin/false。这并不是真正的“shell”，而只是一个会返回 false 并立即退出的文件。

这对于禁用用户帐户非常有效，但没有在用户尝试登录时发出消息的优势。因此，/sbin/nologin 文件通常是禁用用户帐户的理想方法（也就是说，如果您希望通过更改用户 shell 来做到这一点）。

要将用户的 shell 设置为 false，您可以使用 usermod 命令，其语法与我们上面看到的相同。

# usermod linuxconfig -s /bin/false

您也可以使用 /bin/true 代替，这将执行相同的操作。要查看系统可用的更多 shell，请执行以下命令。

$ cat /etc/shells

通过编辑 /etc/shadow 禁用用户帐户

您可以使用 usermod 命令和 -L 选项锁定用户的帐户。

# usermod -L testuser

其唯一作用是在 /etc/shadow 文件中用户加密密码的开头添加一个 ! 感叹号。您可以在禁用用户帐户后通过查看 /etc/shadow 文件来亲自观察这一点。

# cat /etc/shadow | grep testuser

要解锁用户帐户（只需删除 /etc/shadow 中用户密码开头的感叹号），请使用 -U 选项和 usermod 命令。

# usermod -U testuser

结束语

在这份 linux nologin 指南中，我们看到了几种可用于在 Linux 系统上禁用用户帐户的方法。这包括将用户的 shell 编辑为 nologin 或 false（这是常见的选择），或者只是更改 /etc/shadow 中用户的加密密码，以便他们将永远无法登录。使用您认为最适合您的系统管理情况的方法。