|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vadim Goncharov 2:5020/400 05 Sep 2005 12:23:08
To : Valentin Nechayev
Subject : Re: ftp-севак
--------------------------------------------------------------------------------
Hi Valentin Nechayev!
On Sat, 3 Sep 2005 18:24:48 +0000 (UTC); Valentin Nechayev wrote about 'Re:
ftp-севак':
AVZ>>>>>> 2. В чём проблема добавить /sbin/nologin >> /etc/shells ?
VN>>>>> В том, что nologin'у по определению не положено там быть. Если
VN>>>>> требуется добавить в shells "пустой" шелл, традиционно
VN>>>>> используется true.
AVZ>>>> А какие могут возникнуть проблемы из-за этого ?
VN>>> От нахождения nologin в shells - то, что ты даёшь ftp группе
VN>>> псевдопользователей, у которых nologin по умолчанию и в стандартных
VN>>> конфигах и которым не положено иметь ftp. Чтобы не дать им ftp придется
VN>>> менять им всем шелл... а это - насилие над стандартной конфигурацией,
VN>>> которое очень тяжело сопровождать и которое когда-нибудь вылезет боком.
VN>>> Поэтому и надо придумывать что-то другое для этой роли.
VG>> Hо ведь у них невозможно ввести пароль. У меня стоит proftpd, у всех
VG>> пользователей, которым отключен шелл, но нужно дать ftp, стоит шеллом
VG>> /sbin/nologin - ну и при попытке захода псевдопользователем proftpd
VG>> разумеется обламывает эту попытку по паролю. Это (моя конфигурация)
VG>> неправильно?
VN> Это Ваша конфигурация ограничила только ftp. Hо ничто не мешает
VN> существованию других проверок на вхождение шелла в /etc/shells на
VN> предмет существования законного пользователя, и они (эти проверки)
VN> есть: например, в sendmail. Так что нарушив требуемую логику и
VN> скомпенсировав это нарушение в одном известном Вам месте, можете
VN> получить непредсказуемые эффекты в других местах.
Hу, не совсем. В настоящее время у меня /sbin/nologin в /etc/shells не
прописан. Сервер предоставляет нескольким десяткам пользователей личный
каталог ftp и почту, у всех прописан /sbin/nologin, всё работает
нормально. Я просто думаю о переходе с proftpd на стандартный ftpd, в
каковом случае придется либо всем пользователоям сменить шелл на что-то
другое, либо добавить /sbin/nologin в список шеллов. /sbin/nologin
удобен тем, что присутствует в системе без дополнительных телодвижений,
при попытке логина выдает сообщение, и, кстати, возвращает false, а не
true. Смысл таких ограничений шеллов (в ftpd в частности) до меня пока
не очень доходит.
--
WBR, Vadim Goncharov. ICQ#166852181 mailto:vadim_nuclight@mail.ru
[Moderator of RU.ANTI-ECOLOGY][FreeBSD][http://antigreen.org][LJ:/nuclight]
--- slrn/0.9.8.1 on FreeBSD 4.11/i386
* Origin: Nuclear Lightning @ Tomsk, TPU AVTF Hostel (2:5020/400@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
