2003-05-11 16:46 Wojciech Kuranowski napisał(a):
On Sun, May 11, 2003 at 11:29:06AM +0200, Adam Kruszewski wrote:
dodaj /bin/false (chyba, że naprawdę masz false w /etc ;-))
do /etc/shells (man shells),aby był traktowany jako valid shell, co jest
przez większość ftpd wymagane, zmień użytkownikowi powłokę na
to /bin/false (man chsh) i powinno zadziałać.
NIE!!! Nigdy w ten sposob! Jest to straszny blad, ktory popelnia mnostwo
ludzi. Jesli damy komus dostep do FTP, ustawimy mu shella na /bin/false
i zrobimy, zeby /bin/false bylo valid-shelem, to user moze sobie w kazdej
chwili zmienic shella na /bin/bash powiedzmy. Jesli logowanie do FTP wymaga
valid shella, to lepiej poszukac jakiejs opcji, ktora wylacza to wymaganie
np. requirevalidshell w proftpd. Zapewne pare osob jest zainteresowanych,
jak zmienic sobie shella przez FTP :) oto wskazowki:
logujemy sie na FTP. wrzucamy na konto plik .forward, albo .procmailrc
i wstawiamy tam polecenie zmieniajace shella... Proste? Banalne nawet.
Nie jest to dokladny przepis, ale taki byl moj zamiar... Zreszta pewnie
prawie wszyscy na liscie sa w stanie to zrobic.
Ostatnio znalazlem fajny sposob zabezpieczenia przed logowanie pewnego
"profesjonalnego" konta WWW. Kolesie nie bawili sie w zadne /bin/false,
czy inne zabezpieczenia... po prostu w .bashrc dopisali exit....
Wystarczylo z ftpa skasowac ten plik, badz podmienic na dowolny...
A najsmiesniesze, ze na stronie chwalili sie wysokim bezpieczenstwem...
Na podeslana uwage nie odpowiedzieli, nie ma jak kultura...
Pozdrawiam,
Michal Wrobel