prihlasenie ak shell=/bin/false

[Dalibor Straka]

On Tue, May 03, 2005 at 11:19:57PM +0200, Vaclav Stepan wrote:
> Dalibor Straka napsal(a):
> >>Riziko tam je, pokud predpokladate, ze nastavite /bin/false
> >>a dotycny nemuze ziskat shell.
> > To se domnivam, ze nemuze...
> 
> > /bin/false proste jenom vrati return 1;
> 
> Ano, mate pravdu, ze dotycny se pak nemuze primo prihlasit
> pres SSH ci jinou sluzbu, ktera pusti shell.
> Jen jsem chtel upozornit, ze to neni samospasitelne ---
> to, ze nekomu zakazete prihlasit se primo, jeste neznamena,
> ze dotycny nemuze ziskat shell neprimo a je potreba
> premyslet i nad ostatnimi sluzbami, ke kterym ma pristup.
> 
> Takovy mirne vykonstruovany priklad:
> Mate stroj dostupny pres SSH a NFS. Dotycny tam sice ma ucet,
> ale nemuze nalogovat pres SSH, protoze ma /bin/false shell. Staci ale,
> abyste jeho data mel ulozena v normalnim /home/user/,
> on tam mohl pres NFS zapisovat a na tom stroji byl procmail.
> Procmail na nastaveni shellu v pripade ze primo volate externi
> program kasle a staci, aby si user pridal do .procmailrc
> neco typu
> 
> :0:
> * ^From:.*zoro na mstitel.org
> | /home/user/zlej_skript_co_mi_pusti_shell
> 
> A ma spusteno cokoliv co jen je mu libo.
> 

S tim nfs jsem si nedavno vyzkousel take hezkou vec. Kdyz budete
exportovat /home/user, tak se do jeho adresare kazdy vkrade. Staci
se podivat jaky UID ma adresar /home/user, zalozit si u sebe uzivatele
se stejnym UID a primountovat si tento adresar.

(Pokud je export tohoto home omezen na prislusna IP, tak si udelat
skript a zmenit si svoji IP na tu spravnou a udelat utok velmi rychle.
Vyzkouseno v podminkach cvut.cz ;-), tzn. zmena IP nevadila.)

NFS je dobre kdyz
a) je read only
b) clovek zna jeho slabiny, pak muze vyuzit jeho prednosti

-- Dalibor Straka