Re: user a ftp
2003-05-11 16:46 Wojciech Kuranowski napisał(a): On Sun, May 11, 2003 at 11:29:06AM +0200, Adam Kruszewski wrote: dodaj /bin/false (chyba, że naprawdę masz false w /etc ;-)) do /etc/shells (man shells),aby był traktowany jako valid shell, co jest przez większość ftpd wymagane, zmień użytkownikowi powłokę na to /bin/false (man chsh) i powinno zadziałać. NIE!!! Nigdy w ten sposob! Jest to straszny blad, ktory popelnia mnostwo ludzi. Jesli damy komus dostep do FTP, ustawimy mu shella na /bin/false i zrobimy, zeby /bin/false bylo valid-shelem, to user moze sobie w kazdej chwili zmienic shella na /bin/bash powiedzmy. Jesli logowanie do FTP wymaga valid shella, to lepiej poszukac jakiejs opcji, ktora wylacza to wymaganie np. requirevalidshell w proftpd. Zapewne pare osob jest zainteresowanych, jak zmienic sobie shella przez FTP :) oto wskazowki: logujemy sie na FTP. wrzucamy na konto plik .forward, albo .procmailrc i wstawiamy tam polecenie zmieniajace shella... Proste? Banalne nawet. Nie jest to dokladny przepis, ale taki byl moj zamiar... Zreszta pewnie prawie wszyscy na liscie sa w stanie to zrobic. Ostatnio znalazlem fajny sposob zabezpieczenia przed logowanie pewnego "profesjonalnego" konta WWW. Kolesie nie bawili sie w zadne /bin/false, czy inne zabezpieczenia... po prostu w .bashrc dopisali exit Wystarczylo z ftpa skasowac ten plik, badz podmienic na dowolny... A najsmiesniesze, ze na stronie chwalili sie wysokim bezpieczenstwem... Na podeslana uwage nie odpowiedzieli, nie ma jak kultura... Pozdrawiam, Michal Wrobel
Re: user a ftp
Dyskusję przeniosłem na priv-a bo się offtopic-owa zrobiła i jeszcze raz przepraszam, za niepoprawne poinstruowanie hipiss-a. Pozdrawiam, Adam. -- .-[phantom at networkweavers dot net]--- -- - . . | Adam Kruszewski :: unix system administrator . key fingerprint :: E33C 45AC D0B2 41BB 845F . CC05 62AE 2CED AC10 BFA4
Re: user a ftp
On Sun, May 11, 2003 at 07:53:17PM +0200, Adam Kruszewski wrote: > ahm, no tak sprawa prosta, tylko ile osób pozostawia możliwość zmiany > shell-a użytkownikom? mnostwo? :) > (osobno logowana historia z bash-a jest dla mnie > czymś naturalnym, więc raczej nie po mojej mysli było by aby ktokoliwek > zmienił sobie shella, zwłaszcza jeśli ma dostęp do interaktywnej > powłoki). jasne, ale to jest specyfika twojego indywidualnego systemu. > A co do poczty, to zawsze polecam wszystkim (i preferuję) aby cała > działała na tzw. ``single uid'' i np. qmail + vpopmail (+qmailadmin dla > działu IT) jest do tego wyśmienity imho. (choć oczywiście to kwestia > gustu) a jak sie ma sprawa z .forward i .procmailrc? procmail musi dzialac z uprawnieniami usera chyba, co? bo jak user filtruje poczte i zapisuje ja w roznych miejscach, to tylko i wylacznie ze swoimi prawami. tak wiec jesli ktos nie wylaczy zmiany shella userom, to zapewne mozna bedzie zmienic shella. > Aczkolwiek przepraszam, że zbyt naturalne potraktowałem moje upodobania, > a nie defaultowe ustawienia debiana. (kajam się i posypuję głowę to nie sa defaultowe ustawienia debiana. to dziala prawie wszedzie, jesli admin tego celowo nie zabronil. takim soposobem dostalem sie ostatnio na shella we FreeBSD. jednak rozumiem cie doskonale - przyzwyczajenia robia swoje i odpowiadajac na czyjes posty wzorujemy sie czesto na swoim dzialajacym systemie :)
Re: user a ftp
On Sun, May 11, 2003 at 05:54:59PM +0200, t0masz zab0rowski wrote: > ps. fajny sposob na tego .forward. ale co jesli nie ma na ftp poczty? mowi sie trudno, ale to chyba bardzo rzadki przypadek na kontach shell, bo raczej zawsze cos sobie siedzi do poczty - w koncu czasami sam serwer komunikuje sie emailami z adminem, wiec istnieje duza szansa (sa wyjatki), ze .forward lub .procmailrc zadzialaja:) Pozdrawiam
Re: user a ftp
Dnia Sun, May 11, 2003 at 01:27:54AM +0200 hipiss napisał/a: > pytanko prosciutkie > > mialem swego czasu reinstalke ser-wa > nio i potrzebuje zrobic tak by user-y nie mialy bash-a > a mogly logowac sie ftp... > > podejzewam ze wystarczy dodac jakas grupe ftp > userow do gropy i w /etc/passwd dla tych userow wpisac zamiast /bin/bash > /etc/false > prosilbym o lakoniczne wyjasnienie... > no moze na poziomie przedszkola... zainteresuj sie plikami: ftpusers (wpisujesz tam osoby ktore _nie_ maja dostepu do ftp (dla tych ktorzy korzystaja z shella - lepiej niech nie korzystaja z nieszysfrowanego kanalu, niech uzywaja scp/winscp) sshd_config masz tam opcje: AllowUsers i DenyUsers robisz tak: DenyUsers All AllowUsers jedenuser drugiuser trzeciuser (userzy ktorzy moga sie logowac via ssh) telnetu rozumiem ze niemasz wiec chyba to zalatwia sprawe... pzdr yanek -- ,,Weź przeczytaj chociaż jeden dokument o systemie DNS. Bo odnoszę wrażenie, że wiesz o tym tyle co ja o hodowli świń.'' - Bartosz Feński aka fEnIo (@ debian-user-polish@lists.debian.org)
Re: user a ftp
On Sunday 11 of May 2003 16:46, Wojciech Kuranowski wrote: [..] > logujemy sie na FTP. wrzucamy na konto plik .forward, albo > .procmailrc i wstawiamy tam polecenie zmieniajace shella... Proste? > Banalne nawet. ahm, no tak sprawa prosta, tylko ile osób pozostawia możliwość zmiany shell-a użytkownikom? (osobno logowana historia z bash-a jest dla mnie czymś naturalnym, więc raczej nie po mojej mysli było by aby ktokoliwek zmienił sobie shella, zwłaszcza jeśli ma dostęp do interaktywnej powłoki). A co do poczty, to zawsze polecam wszystkim (i preferuję) aby cała działała na tzw. ``single uid'' i np. qmail + vpopmail (+qmailadmin dla działu IT) jest do tego wyśmienity imho. (choć oczywiście to kwestia gustu) Aczkolwiek przepraszam, że zbyt naturalne potraktowałem moje upodobania, a nie defaultowe ustawienia debiana. (kajam się i posypuję głowę popiołem) Pozdrawiam, Adam. -- .-[phantom at networkweavers dot net]--- -- - . . | Adam Kruszewski :: unix system administrator . key fingerprint :: E33C 45AC D0B2 41BB 845F . CC05 62AE 2CED AC10 BFA4
Re: user a ftp
On Sun, 11 May 2003, Wojciech Kuranowski wrote: > > przez większość ftpd wymagane, zmień użytkownikowi powłokę na > > to /bin/false (man chsh) i powinno zadziałać. > > NIE!!! Nigdy w ten sposob! Jest to straszny blad, ktory popelnia mnostwo > ludzi. Jesli damy komus dostep do FTP, ustawimy mu shella na /bin/false > i zrobimy, zeby /bin/false bylo valid-shelem, to user moze sobie w kazdej > chwili zmienic shella na /bin/bash powiedzmy. Jesli logowanie do FTP wymaga > valid shella, to lepiej poszukac jakiejs opcji, ktora wylacza to wymaganie > np. requirevalidshell w proftpd. Zapewne pare osob jest zainteresowanych, przy okazji proftpd, dobrze jest wyciac z passwd+shadow linie z kontem dostapu dla ftp'a i wstawic to do osobnego pliku + opcja authUserFile wtedy mamy z glowy logowania na konto z "shella", bo konta takiego w passwd nie ma. ps. fajny sposob na tego .forward. ale co jesli nie ma na ftp poczty? tomcio -- tomasz grzegorz zaborowski --/- operator sieci komputerowej, IFT, UWr. http://zabora.of.pl /[ http://zas.ift.uni.wroc.pl [EMAIL PROTECTED] /[ 071 3759402 GeekCode on my www /-pT
Re: user a ftp
On Sun, May 11, 2003 at 11:29:06AM +0200, Adam Kruszewski wrote: > dodaj /bin/false (chyba, że naprawdę masz false w /etc ;-)) > do /etc/shells (man shells),aby był traktowany jako valid shell, co jest > przez większość ftpd wymagane, zmień użytkownikowi powłokę na > to /bin/false (man chsh) i powinno zadziałać. NIE!!! Nigdy w ten sposob! Jest to straszny blad, ktory popelnia mnostwo ludzi. Jesli damy komus dostep do FTP, ustawimy mu shella na /bin/false i zrobimy, zeby /bin/false bylo valid-shelem, to user moze sobie w kazdej chwili zmienic shella na /bin/bash powiedzmy. Jesli logowanie do FTP wymaga valid shella, to lepiej poszukac jakiejs opcji, ktora wylacza to wymaganie np. requirevalidshell w proftpd. Zapewne pare osob jest zainteresowanych, jak zmienic sobie shella przez FTP :) oto wskazowki: logujemy sie na FTP. wrzucamy na konto plik .forward, albo .procmailrc i wstawiamy tam polecenie zmieniajace shella... Proste? Banalne nawet. Nie jest to dokladny przepis, ale taki byl moj zamiar... Zreszta pewnie prawie wszyscy na liscie sa w stanie to zrobic. Pozdrawiam!
Re: user a ftp
On Sunday 11 of May 2003 01:27, hipiss wrote: [...] > mialem swego czasu reinstalke ser-wa > nio i potrzebuje zrobic tak by user-y nie mialy bash-a > a mogly logowac sie ftp... [...] > prosilbym o lakoniczne wyjasnienie... > no moze na poziomie przedszkola... dodaj /bin/false (chyba, że naprawdę masz false w /etc ;-)) do /etc/shells (man shells),aby był traktowany jako valid shell, co jest przez większość ftpd wymagane, zmień użytkownikowi powłokę na to /bin/false (man chsh) i powinno zadziałać. > (uzywam wu-ftpd) osobiście (jeśli w ogóle trzeba jakiegoś ftpd) polecam używanie pure-ftpd (http://www.pureftpd.org/) [napewno w przeszłości miał mniej potknięć nić wu ;-)] Pozdrawiam, Adam. -- .-[phantom at networkweavers dot net]--- -- - . . | Adam Kruszewski :: unix system administrator . key fingerprint :: E33C 45AC D0B2 41BB 845F . CC05 62AE 2CED AC10 BFA4
Re: user a ftp
On Sun, May 2003, hipiss wrote: > podejzewam ze wystarczy dodac jakas grupe ftp > userow do gropy i w /etc/passwd dla > tych userow wpisac zamiast /bin/bash /etc/false zmień im tylko shell na jakis 'fake shell' false, nologin itp. w serwerze ustaw zeby puszczal ludkow z takim shellem chodzi o to http://proftpd.linux.co.uk/localsite/Userguide/ \ linked/config_ref_RequireValidShell.html nie wiem jak tam radzi sobie z tym wu-ftpd > prosilbym o lakoniczne wyjasnienie... > no moze na poziomie przedszkola... za wykłady sie płaci ;) -- Secret hacker rule #1: hackers read manuals -- [ debian.e-legionowo.pl ] --- [ www.FreeBSD.friko.pl ] --
Re: user a ftp
heja najprosciej nie dawaj mu basha czyli w /etc/passwd zmien mu na /bin/false lub /bin/passwd wtedy bedzie muogl sie lognac na shella ale tylko zmieniac haslo sobie bedzie mogl ;] pozdr. bieniu - Original Message - From: "hipiss" <[EMAIL PROTECTED]> To: Sent: Sunday, May 11, 2003 1:27 AM Subject: user a ftp > pytanko prosciutkie > > mialem swego czasu reinstalke ser-wa > nio i potrzebuje zrobic tak by user-y nie mialy bash-a > a mogly logowac sie ftp... > > podejzewam ze wystarczy dodac jakas grupe ftp > userow do gropy i w /etc/passwd dla tych userow wpisac zamiast /bin/bash > /etc/false > prosilbym o lakoniczne wyjasnienie... > no moze na poziomie przedszkola... > > (uzywam wu-ftpd) > > pozdrawiam > > hipiss > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > >
user a ftp
pytanko prosciutkie mialem swego czasu reinstalke ser-wa nio i potrzebuje zrobic tak by user-y nie mialy bash-a a mogly logowac sie ftp... podejzewam ze wystarczy dodac jakas grupe ftp userow do gropy i w /etc/passwd dla tych userow wpisac zamiast /bin/bash /etc/false prosilbym o lakoniczne wyjasnienie... no moze na poziomie przedszkola... (uzywam wu-ftpd) pozdrawiam hipiss