Я нашел это в интернете, пока устанавливал FTP-сервер во FreeBSD.
Помещение nologin в / etc / shells может создать черный ход, с помощью которого эти учетные записи могут использоваться с FTP.
(см .: http://osdir.com/ml/freebsd-questions/2005-12/msg02392.html )
Кто-нибудь может объяснить, почему это так? И почему решение проблемы с копированием nologin и помещением его в / etc / shells?
Ответы:
/etc/shellsсодержит список двоичных файлов, которые система считает (неограниченными) оболочками. Это означает, что любой пользователь, который настроил один из этих двоичных файлов в качестве своей оболочки, должен иметь полный доступ к системе (то есть он может выполнить любую команду при условии, что у него есть соответствующие разрешения).
Самый прямой результат - то, что они могут использовать, chshчтобы изменить их настроенную оболочку.
Если у пользователя настроена оболочка, которой нет в этом списке, то система предполагает, что он каким-то образом ограничен. В случае chshэтого означает, что пользователь не может изменить это значение.
Другие программы могут запрашивать этот список и применять аналогичные ограничения.
Таким образом, поставив nologinв /etc/shellsвас эффективно сказать «любой пользователь , который имеет , nologinкак его оболочка считается полный, неограниченный пользователь». Это почти наверняка полная противоположность тому, что nologin предполагалось сказать .
ftp не предоставляет стандартную оболочку, он предоставляет интерфейс ftp. Пользователи, имеющие учетную запись, даже если их оболочка указывает на nologin, могут получить доступ к интерфейсу ftp. Кроме того, они по-прежнему смогут получать доступ к любым другим предоставляемым вами услугам, для которых также не требуется оболочка (например, если у вас есть веб-интерфейс http и т. Д., Который использует аутентификацию учетной записи, но не доступ к оболочке). Это не обязательно задний ход в вашей системе, но задний ход в сфере услуг.