L'ho trovato su Internet, mentre installavo un server FTP in FreeBSD.
Mettere la nologin in / etc / shells potenzialmente crea una backdoor per cui quegli account possono essere usati con FTP.
(vedi: http://osdir.com/ml/freebsd-questions/2005-12/msg02392.html )
Qualcuno può spiegare perché questo è? E perché prendere una copia del nologin e metterlo in / etc / shells risolve questo problema?
Risposte:
/etc/shellscontiene un elenco di file binari che il sistema considera shell (senza restrizioni). Ciò significa che si presume che qualsiasi utente che abbia configurato uno di questi binari come shell abbia pieno accesso al sistema (il che significa che può eseguire qualsiasi comando, a condizione che disponga dell'autorizzazione appropriata).
Il risultato più diretto è che possono usare chshper cambiare la shell configurata.
Se un utente ha una shell configurata che non è in questo elenco, il sistema presume che sia in qualche modo limitato. In chshtal caso significa che l'utente non può modificare quel valore.
Altri programmi potrebbero interrogare tale elenco e applicare restrizioni simili.
Quindi inserendoti nologinin modo /etc/shellsefficace, dici "qualsiasi utente che ha nologincome shell è considerato un utente completo e senza restrizioni". Questo è quasi certamente l'esatto contrario di ciò che nologin doveva dire .
ftp non fornisce una shell standard, fornisce un'interfaccia ftp. Gli utenti che dispongono di un account anche se i loro punti shell per nologin possono comunque accedere all'interfaccia ftp. Inoltre, potranno comunque accedere a tutti gli altri servizi forniti che non richiedono anche una shell (ad esempio, se si dispone di un'interfaccia Web http, ecc. Che si basa sull'autenticazione dell'account ma non sull'accesso alla shell). Questa non è necessariamente una backdoor sul tuo sistema, ma è una backdoor nei servizi.