Нологин в / etc / shells опасен .. ПОЧЕМУ?


21

Я нашел это в интернете, пока устанавливал FTP-сервер во FreeBSD.

Помещение nologin в / etc / shells может создать черный ход, с помощью которого эти учетные записи могут использоваться с FTP.

(см .: http://osdir.com/ml/freebsd-questions/2005-12/msg02392.html )

Кто-нибудь может объяснить, почему это так? И почему решение проблемы с копированием nologin и помещением его в / etc / shells?

Ответы:


23

/etc/shellsсодержит список двоичных файлов, которые система считает (неограниченными) оболочками. Это означает, что любой пользователь, который настроил один из этих двоичных файлов в качестве своей оболочки, должен иметь полный доступ к системе (то есть он может выполнить любую команду при условии, что у него есть соответствующие разрешения).

Самый прямой результат - то, что они могут использовать, chshчтобы изменить их настроенную оболочку.

Если у пользователя настроена оболочка, которой нет в этом списке, то система предполагает, что он каким-то образом ограничен. В случае chshэтого означает, что пользователь не может изменить это значение.

Другие программы могут запрашивать этот список и применять аналогичные ограничения.

Таким образом, поставив nologinв /etc/shellsвас эффективно сказать «любой пользователь , который имеет , nologinкак его оболочка считается полный, неограниченный пользователь». Это почти наверняка полная противоположность тому, что nologin предполагалось сказать .


8

ftp не предоставляет стандартную оболочку, он предоставляет интерфейс ftp. Пользователи, имеющие учетную запись, даже если их оболочка указывает на nologin, могут получить доступ к интерфейсу ftp. Кроме того, они по-прежнему смогут получать доступ к любым другим предоставляемым вами услугам, для которых также не требуется оболочка (например, если у вас есть веб-интерфейс http и т. Д., Который использует аутентификацию учетной записи, но не доступ к оболочке). Это не обязательно задний ход в вашей системе, но задний ход в сфере услуг.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.