[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: FW: VSFTPD - zmiamy w /etc/shells - bezpieczne?



On Sat, 2007-02-10 at 18:58 +0100, Jarek Buczyński wrote:
> > Użytkownik jako powłokę ma wpis /usr/bin/passwd co umożliwia mu
> > zalogowanie po ssh i zmianę własnego hasła, tylko hasła. Aby to
> działało
> > musiałem dodać wpis "/usr/src/passwd" do "/etc/shells"
> > 
> > Czy to wiąże się z jakimś naruszeniem zasad bezpieczeństwa systemu?
> 
> Mógłby ktoś napisać coś na ten temat :) Chodzi głównie o ta
> modyfikację
> /etc/shells  

Ma moje oko samo ustawienie takiego shella wygląda ok, domyślny shell
jest wywoływany już po logowaniu po ssh - a w końcu użytkownik sam może
uruchomić passwd, jeśli ma na to ochotę.

Jednak bezpieczeństwo takiego rozwiązania daje wiele do życzenia. Weź
pod uwagę kilka spraw:
- inni użytkownicy będą mogli ustawić sobie shell na passwd (chsh),
zastanów się, czy tego chcesz,
- użytkownik z shellem ustawionym na passwd będzie mógł poprosić innego
z pełnym shellem aby ustawił temu pierwszemu np. basha dając pełen
dostęp (su user -c chsh),
- dla użytkowników FTP trzeba tworzyć fizyczne konta w systemie,
pamiętając o ustawieniu odpowiedniego shella.

W zasadzie wydaje mi się, że podchodzisz do problemu trochę od złej
strony. Ja na Twoim miejscu spiąłbym serwer FTP za bazą danych i zrobił
prosty webowy interface do zmiany hasła. Masz wtedy userów czysto
wirtualnych, którzy nie mogą w ogóle logować się do systemu - co
znaczenie zwiększa bezpieczeństwo.

Pozdrawiam,
Adam

-- 
Adam Byrtek / Alpha
"Każdy ideał w ciele jest trywialny" - prawdy algebraiczne



Reply to: