Я знайшов це в Інтернеті, розміщуючи FTP-сервер у FreeBSD.
Введення нологіну в / etc / shell потенційно створює задню двері, за допомогою якої ці акаунти можна використовувати з FTP.
(див .: http://osdir.com/ml/freebsd-questions/2005-12/msg02392.html )
Хтось може пояснити, чому це? І чому взяти копію нологіну і помістити його в / etc / оболонки вирішує цю проблему?
Відповіді:
/etc/shellsмістить перелік двійкових файлів, які система вважає (необмеженими) оболонками. Це означає, що будь-який користувач, який налаштував один із цих бінарних файлів як свою оболонку, має на увазі повний доступ до системи (тобто вони можуть виконувати будь-яку команду за умови відповідного дозволу).
Найбільш прямий результат - це те, що вони можуть використовувати chshдля зміни налаштованої оболонки.
Якщо у користувача налаштована оболонка, якої немає в цьому списку, система передбачає, що він якось обмежений. У випадку chshце означає, що користувач не може змінити це значення.
Інші програми можуть запитувати цей список і застосовувати подібні обмеження.
Тож, вводячи nologinв дію, /etc/shellsви ефективно говорите: "будь-який користувач, який має nologinсвою оболонку, вважається повноцінним, необмеженим користувачем". Це майже напевно протилежне тому, що nologin малося сказати .
ftp не забезпечує стандартну оболонку, вона забезпечує FTP-інтерфейс. Користувачі, які мають обліковий запис, навіть незважаючи на те, що їх оболонка вказує на нологін, все ще може отримати доступ до інтерфейсу ftp. Крім того, вони все одно матимуть доступ до будь-яких інших наданих вами послуг, які також не потребують оболонки (наприклад, якщо у вас веб-інтерфейс http тощо), який покладається на автентифікацію облікового запису, але не на доступ до оболонки. Це не обов'язково задні двері у вашу систему, але це задні двері в сервіс.