Re: FW: VSFTPD - zmiamy w /etc/shells - bezpieczne?
On Sat, 2007-02-10 at 18:58 +0100, Jarek Buczyński wrote:
> > Użytkownik jako powłokę ma wpis /usr/bin/passwd co umożliwia mu
> > zalogowanie po ssh i zmianę własnego hasła, tylko hasła. Aby to
> działało
> > musiałem dodać wpis "/usr/src/passwd" do "/etc/shells"
> >
> > Czy to wiąże się z jakimś naruszeniem zasad bezpieczeństwa systemu?
>
> Mógłby ktoś napisać coś na ten temat :) Chodzi głównie o ta
> modyfikację
> /etc/shells
Ma moje oko samo ustawienie takiego shella wygląda ok, domyślny shell
jest wywoływany już po logowaniu po ssh - a w końcu użytkownik sam może
uruchomić passwd, jeśli ma na to ochotę.
Jednak bezpieczeństwo takiego rozwiązania daje wiele do życzenia. Weź
pod uwagę kilka spraw:
- inni użytkownicy będą mogli ustawić sobie shell na passwd (chsh),
zastanów się, czy tego chcesz,
- użytkownik z shellem ustawionym na passwd będzie mógł poprosić innego
z pełnym shellem aby ustawił temu pierwszemu np. basha dając pełen
dostęp (su user -c chsh),
- dla użytkowników FTP trzeba tworzyć fizyczne konta w systemie,
pamiętając o ustawieniu odpowiedniego shella.
W zasadzie wydaje mi się, że podchodzisz do problemu trochę od złej
strony. Ja na Twoim miejscu spiąłbym serwer FTP za bazą danych i zrobił
prosty webowy interface do zmiany hasła. Masz wtedy userów czysto
wirtualnych, którzy nie mogą w ogóle logować się do systemu - co
znaczenie zwiększa bezpieczeństwo.
Pozdrawiam,
Adam
--
Adam Byrtek / Alpha
"Każdy ideał w ciele jest trywialny" - prawdy algebraiczne
Reply to: