prihlasenie ak shell=/bin/false

[Vaclav Stepan]

Dalibor Straka napsal(a):
>>Riziko tam je, pokud predpokladate, ze nastavite /bin/false
>>a dotycny nemuze ziskat shell.
> To se domnivam, ze nemuze...

> /bin/false proste jenom vrati return 1;

Ano, mate pravdu, ze dotycny se pak nemuze primo prihlasit
pres SSH ci jinou sluzbu, ktera pusti shell.
Jen jsem chtel upozornit, ze to neni samospasitelne ---
to, ze nekomu zakazete prihlasit se primo, jeste neznamena,
ze dotycny nemuze ziskat shell neprimo a je potreba
premyslet i nad ostatnimi sluzbami, ke kterym ma pristup.

Takovy mirne vykonstruovany priklad:
Mate stroj dostupny pres SSH a NFS. Dotycny tam sice ma ucet,
ale nemuze nalogovat pres SSH, protoze ma /bin/false shell. Staci ale,
abyste jeho data mel ulozena v normalnim /home/user/,
on tam mohl pres NFS zapisovat a na tom stroji byl procmail.
Procmail na nastaveni shellu v pripade ze primo volate externi
program kasle a staci, aby si user pridal do .procmailrc
neco typu

:0:
* ^From:.*zoro na mstitel.org
| /home/user/zlej_skript_co_mi_pusti_shell

A ma spusteno cokoliv co jen je mu libo.

Pekny den

Vaclav Stepan