prihlasenie ak shell=/bin/false
Vaclav Stepan
w na linux.fjfi.cvut.cz
Úterý Květen 3 23:19:57 CEST 2005
Dalibor Straka napsal(a):
>>Riziko tam je, pokud predpokladate, ze nastavite /bin/false
>>a dotycny nemuze ziskat shell.
> To se domnivam, ze nemuze...
> /bin/false proste jenom vrati return 1;
Ano, mate pravdu, ze dotycny se pak nemuze primo prihlasit
pres SSH ci jinou sluzbu, ktera pusti shell.
Jen jsem chtel upozornit, ze to neni samospasitelne ---
to, ze nekomu zakazete prihlasit se primo, jeste neznamena,
ze dotycny nemuze ziskat shell neprimo a je potreba
premyslet i nad ostatnimi sluzbami, ke kterym ma pristup.
Takovy mirne vykonstruovany priklad:
Mate stroj dostupny pres SSH a NFS. Dotycny tam sice ma ucet,
ale nemuze nalogovat pres SSH, protoze ma /bin/false shell. Staci ale,
abyste jeho data mel ulozena v normalnim /home/user/,
on tam mohl pres NFS zapisovat a na tom stroji byl procmail.
Procmail na nastaveni shellu v pripade ze primo volate externi
program kasle a staci, aby si user pridal do .procmailrc
neco typu
:0:
* ^From:.*zoro na mstitel.org
| /home/user/zlej_skript_co_mi_pusti_shell
A ma spusteno cokoliv co jen je mu libo.
Pekny den
Vaclav Stepan
Další informace o konferenci Linux