Znalazłem to w Internecie, instalując serwer FTP we FreeBSD.
Umieszczenie nologin w / etc / shells potencjalnie tworzy tylne drzwi, za pomocą których konta te mogą być używane z FTP.
(patrz: http://osdir.com/ml/freebsd-questions/2005-12/msg02392.html )
Czy ktoś może wyjaśnić, dlaczego tak jest? I dlaczego pobranie kopii nologina i umieszczenie go w powłoce / etc / rozwiązuje ten problem?
Odpowiedzi:
/etc/shellszawiera listę plików binarnych, które system uważa (bez ograniczeń) za powłoki. Oznacza to, że zakłada się, że każdy użytkownik, który skonfigurował jeden z tych plików binarnych jako swoją powłokę, ma pełny dostęp do systemu (co oznacza, że może wykonać dowolne polecenie, pod warunkiem, że ma odpowiednie uprawnienia).
Najbardziej bezpośredni wynik jest taki, że mogą użyć chshdo zmiany skonfigurowanej powłoki.
Jeśli użytkownik ma skonfigurowaną powłokę, której nie ma na tej liście, wówczas system zakłada, że jest w jakiś sposób ograniczony. W takim przypadku chshoznacza to, że użytkownik nie może zmienić tej wartości.
Inne programy mogą sprawdzać tę listę i stosować podobne ograniczenia.
Więc poprzez umieszczenie nologinw /etc/shellswas skutecznie powiedzieć „każdy użytkownik, który ma nologinjako jego powłoka jest uważany za pełny, nieograniczony użytkownika”. To prawie na pewno dokładne przeciwieństwo tego, co nologin miało powiedzieć .
ftp nie zapewnia standardowej powłoki, zapewnia interfejs ftp. Użytkownicy posiadający konto, mimo że ich powłoka wskazuje na nologin, nadal mogą uzyskać dostęp do interfejsu ftp. Ponadto nadal będą mogli uzyskiwać dostęp do innych świadczonych przez ciebie usług, które również nie wymagają powłoki (na przykład, jeśli masz interfejs WWW http itp., Który polega na uwierzytelnieniu konta, ale nie na dostępie do powłoki). To niekoniecznie jest tylnymi drzwiami do twojego systemu, ale jest tylnymi drzwiami do usług.