Frage nologin in / etc / shells ist gefährlich .. WARUM?


Ich habe das im Internet gefunden, während ich einen FTP-Server in FreeBSD installierte.

Das Einfügen von nologin in / etc / shells erzeugt möglicherweise eine Hintertür   welche diese Konten mit FTP verwendet werden können.

(sehen: http://osdir.com/ml/freebsd-questions/2005-12/msg02392.html)

Kann jemand erklären, warum das so ist? Und warum behebt dieses Problem das Kopieren des nologin und das Einsetzen in die / etc / Shells?


20
2017-11-07 08:10


Ursprung




Antworten:


/etc/shells enthält eine Liste von Binärdateien, die das System als (unbeschränkte) Shells betrachtet. Das bedeutet, dass jede Verwendung, die eine dieser Binärdateien als ihre Shell konfiguriert hat, vollen Zugriff auf das System hat (was bedeutet, dass sie jeden Befehl ausführen können, vorausgesetzt, sie haben die entsprechende Berechtigung).

Das direkteste Ergebnis ist, dass sie verwenden können chsh zu Veränderung ihre konfigurierte Shell.

Wenn ein Benutzer eine Shell konfiguriert hat, heißt das nicht In dieser Liste nehmen sie dann an, dass er irgendwie eingeschränkt ist. Im Falle von chsh es bedeutet, dass der Benutzer kippen ändere diesen Wert.

Andere Programme können diese Liste abfragen und ähnliche Einschränkungen anwenden.

Also, indem ich setze nologin im /etc/shells Sie sagen effektiv "jeder Benutzer, der hat nologin denn seine Shell gilt als uneingeschränkter, uneingeschränkter Benutzer. "Das ist mit ziemlicher Sicherheit das genaue Gegenteil von dem nologin  sollte sagen.


21
2017-11-07 09:49





ftp bietet keine Standard-Shell, es bietet eine FTP-Schnittstelle. Benutzer, die ein Konto haben, obwohl ihre Shell auf nologin verweist, können weiterhin auf die ftp-Schnittstelle zugreifen. Darüber hinaus können sie weiterhin auf andere Dienste zugreifen, die Sie nicht benötigen (z. B. wenn Sie über eine HTTP-Web-Schnittstelle verfügen, die auf Kontoauthentifizierung, aber nicht auf Shell-Zugriff basiert). Dies ist nicht notwendigerweise eine Hintertür zu Ihrem System, sondern eine Hintertür zu Diensten.


8
2017-11-07 08:23