prihlasenie ak shell=/bin/false

[Dalibor Straka]

On Tue, May 03, 2005 at 08:41:39PM +0200, Vaclav Stepan wrote:
> On Tue, May 03, 2005 at 06:48:54PM +0200, Dalibor Straka wrote:
> > soubory /etc/ftpusers a podobne? Je nejake riziko (at uz bezpecnostni
> > nebo psychicke) mit uzivatele jinych sluzeb uvedene v passwd s shellem
> > /bin/false[nologin]? Neni nic horsiho nez mit vice autentizacnich
> > zdroju. 
> > Podle me je idealni jednotny autentizacni zdroj, treba ldap a vuci nemu
> > se muze autentizovat jak login pres pam tak cokoliv jineho co na to ma
> > modul. Pokud vam vyhovuje bezpecnost passwd+shadow, nevidim duvod, proc
> > by nemohl byt jedinym autentizacnim zdrojem?
> 
> Riziko tam je, pokud predpokladate, ze nastavite /bin/false
> a dotycny nemuze ziskat shell.
> 
To se domnivam, ze nemuze...
/bin/false proste jenom vrati return 1;

> Co se ftpusers tyce -- pokud pouzivate FTP bez SSL nebo jineho
> zabezpeceni, prenasite nesifrovana hesla. Coz muze byt silne
> nezadouci, pokud ta hesla jsou i k jinym zdroju.
> Takze FTP povolite jen pro ucty, u kterych to nehrozi.
> 

-- Dalibor Straka