prihlasenie ak shell=/bin/false
Dalibor Straka
dast na panelnet.cz
Úterý Květen 3 18:48:54 CEST 2005
On Tue, May 03, 2005 at 06:24:37PM +0200, Jan Houstek wrote:
> On Tue, 3 May 2005, Ing. Pavel PaJaSoft Janoušek wrote:
>
> > No ono to ma jeste hlubsi koren v tom, ze historicky existuji
> > sluzby (napr. FTP), které delaji autorizaci pristupu i vuci validnimu
> > shellu. Takze zatimco /sbin/nologin byva v /etc/shells uveden,
> > /bin/false nebo /bin/tru nikoliv - lze tedy dle toho ridit pristup i k
> > této sluzbe, takze ono to zas tak jedno byt nemusi... (ano FTP stále
> > povazuji za sluzbu obvyklou a beznou a neskoncila na propadlisti dejin,
> > jak by si mnozi prali)
>
> Zatimco nastavovani pristupu pres (ne)validni shell by tam melo skoncit uz
> davno.
Pokud beres jako validni shell to, co je uvedene v /etc/shells,
souhlasim. Nevim z jakeho duvodu bych mel na svem systemu mit jeste
soubory /etc/ftpusers a podobne? Je nejake riziko (at uz bezpecnostni
nebo psychicke) mit uzivatele jinych sluzeb uvedene v passwd s shellem
/bin/false[nologin]? Neni nic horsiho nez mit vice autentizacnich
zdroju.
Napr. samba + ftp + pop3 [+ shell]: budu mit pro kazdou sluzbu
/etc/sluba_users a /etc/sluzba_passwd a kdyz si ten clovek bude chtit
zmenit heslo (nedej boze aby to chtel po svem spravci), tak si uvari
kavicku a nez ji vypije, ma zmenena hesla na jednom stroji. Nedej boze,
aby mel jeste ruzne loginy.
Podle me je idealni jednotny autentizacni zdroj, treba ldap a vuci nemu
se muze autentizovat jak login pres pam tak cokoliv jineho co na to ma
modul. Pokud vam vyhovuje bezpecnost passwd+shadow, nevidim duvod, proc
by nemohl byt jedinym autentizacnim zdrojem?
-- Dalibor Straka
Další informace o konferenci Linux