Zakaz prihlasovani uzivatelu pres cua1

[Pavel Machek]

Hi!

> > > nevite nekdo, jak zaridit, aby se po modemu mohli prihlasovat
> > > jen vybrani uzivatele? 
> > > Root je jasny (securetty), ale jak s ostatnima.
> > > Nasel jsem nejaky odkaz na soubor /etc/usertty, ale nikde zadne 
> > > detaily.
> > 
> > Patricny radek do /etc/profile [ if [ `tty` == /dev/cua1 ]; then echo
> > "zmiz"; exec false; done; ] by to mel jistit.
> 
> Resit tohle az na urovni /etc/profile je uz moc pozde. Musi se to zaridit
> jeste drive nez se spusti shell. Co kdyz si uzivatel zmeni shell na takovy
> ktery /etc/profile necte? Nebo na takovy kteremu se da rict aby ho necetl?
> Nevim ted jestli je to vec bashe ale u nejakeho shellu jsem videl ze kdyz
> se v domovskem adresari udela soubor .hushlogin tak to /etc/profile
> neprovadi. Proste je to potreba zaridit tak aby se vubec nespustil shell.
> Jak na to to se lisi podle toho co pouzivate za /bin/login. Jinak se to
> bude resit kdyz pouzivate klasicke shadow, jinak kdyz pouzivate PAM...

No... Ti lide stejne budou moci vykonavat libovolne prikazy na dane
masine (kdyz daj' do .forward |bash), takze tohle opatreni *nemuze*
byt 100% ucinne. Proste takova mala, hezka, security by obscurity
(ktera neni bezpecna vubec :-). Poenta je, ze snahu omezit pouzivani
cua1 to asi splni. 

A vubec: pokud se v /etc/shells necha jen bash, tak by to melo byt
safe, ne?

								Pavel
-- 
I'm really pavel na atrey.karlin.mff.cuni.cz. 	   Pavel
Look at http://atrey.karlin.mff.cuni.cz/~pavel/ ;-).