Encontré esto en Internet, mientras instalaba un servidor FTP en FreeBSD.
Poner nologin en / etc / shells potencialmente crea una puerta trasera por la cual esas cuentas se pueden usar con FTP.
(ver: http://osdir.com/ml/freebsd-questions/2005-12/msg02392.html )
¿Alguien puede explicar por qué es esto? ¿Y por qué tomar una copia del nologin y ponerlo en / etc / shells resuelve este problema?
Respuestas:
/etc/shellscontiene una lista de archivos binarios que el sistema considera shells (sin restricciones). Eso significa que se supone que cualquier usuario que haya configurado uno de esos archivos binarios como su shell tiene acceso completo al sistema (lo que significa que puede ejecutar cualquier comando, siempre que tenga el permiso apropiado).
El resultado más directo es que pueden usar chshpara cambiar su shell configurado.
Si un usuario tiene un shell configurado que no está en esta lista, entonces el sistema asume que de alguna manera está restringido. En el caso de chshque significa que el usuario no puede cambiar ese valor.
Otros programas pueden consultar esa lista y aplicar restricciones similares.
Por lo tanto, poniendo nologinen /etc/shellsque efectivamente decir "cualquier usuario que tiene nologincomo su cáscara se considera un usuario completa sin restricciones". Es casi seguro que es exactamente lo contrario de lo que nologin debía decir .
ftp no proporciona un shell estándar, proporciona una interfaz ftp. Los usuarios que tienen una cuenta a pesar de que su shell apunta a nologin aún pueden acceder a la interfaz ftp. Además, aún podrán acceder a cualquier otro servicio que brinde que no requiera un shell (por ejemplo, si tiene una interfaz web http, etc., que se basa en la autenticación de la cuenta pero no en el acceso al shell). Esto no es necesariamente una puerta trasera a su sistema, sino una puerta trasera a los servicios.