Re: User Shell zuweisen
Am Mittwoch, 2. April 2003 13:01 schrieb Tauber, Mathias HDP: In der /etc/passwd steht für nobody: nobody:x:65534:65534:nobody:/home:/bin/sh Wie sollte der Eintrag denn am Besten aussehen? Gibt es eine dummyShell mit der er nichts machen kann oder kann ich den Teil für die Shell einfach weglassen? Hier auf einem Redhat System funktioniert /sbin/nologin als 'nicht-login-shell'. Kann gerade nicht nachschauen ob es bei debian auch so ist. Muesste aber eigentlich auch gehen. Ansonsten: /bin/false -- GnuPG Key avalaible at: http://www.philipp-ist.net/gpg/ KeyID: 0xB9012F06 Fingerprint: 7C89 A1B3 0BBA A1EC 8B20 6907 DE40 E966 B901 2F06 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: User Shell zuweisen
On Wed, Apr 02, 2003 at 01:01:14PM +0200, Tauber, Mathias HDP wrote: Hallo, wie kann ich denn einem User (nobody) das nutzen einer Shell verbieten. In der /etc/passwd steht für nobody: nobody:x:65534:65534:nobody:/home:/bin/sh Wie sollte der Eintrag denn am Besten aussehen? mache aus dem /bin/sh nichts oder was ungefaehrliches wie /bin/false oder /dev/null Gibt es eine dummyShell mit der er nichts machen kann oder kann ich den Teil für die Shell einfach weglassen? Einfach weglassen solte auch gehen, sonst /bin/false Allerdings ueber den Sinn und Unsinn von einer shell fuer User die sich ohnehin nicht einloggen koennen laest sich vortrefflich diskutieren. Siehe auch: http://lists.debian.org/debian-security/2003/debian-security-200303/msg00472.html http://lists.debian.org/debian-security/2003/debian-security-200304/msg00014.html Sven -- It really sucks to give your heart to a girl You want to know her like she knows the whole world But 10 seconds in, it's obvious, your going nowhere... [Bowling for Soup - Drunk Enough To Dance - I Don't Wanna Rock] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: User Shell zuweisen
--UlVJffcvxoiEqYs2 Content-Type: text/plain; charset=iso-8859-1 Content-Disposition: inline Content-Transfer-Encoding: quoted-printable On 02.Apr 2003 - 13:01:14, Tauber, Mathias HDP wrote: Servus, =20 wie kann ich denn einem User (nobody) das nutzen einer Shell verbieten. =20 In der /etc/passwd steht f=FCr nobody: nobody:x:65534:65534:nobody:/home:/bin/sh Was hast du denn gemacht? Bei mir steht da: nobody:x:65534:65534:nobody:/nonexistent:/bin/sh Und ich kann mich nicht als nobody einloggen, au=DFer als root ein su nobody machen. Aber sowas geht ja IMHO immer. Andreas --=20 Lust und Not - durch beides zugleich ist freilich jedes Weib zu gewinnen. -- Jean Paul --UlVJffcvxoiEqYs2 Content-Type: application/pgp-signature Content-Disposition: inline -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQE+itBCuekl0h+nrMIRAmV4AKCbZ8cKPAOt8Tp7U5CD2aYqiCfvaQCcD4xz RUUPFw/CyO+nS1zhJ5ljBAw= =0wmW -END PGP SIGNATURE- --UlVJffcvxoiEqYs2-- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: User Shell zuweisen
Am 02.04.2003 13:01:14, Tauber, Mathias HDP schrieb: wie kann ich denn einem User (nobody) das nutzen einer Shell verbieten. Nimm /bin/false. Und fallst Du gleich mitueberlegst, wie Du ein Homedirectory verhindern moechtest, nimm /dev/null. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht... -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: User Shell zuweisen
On Wed, Apr 02, 2003 at 01:57:54PM +0200, Andreas Pakulat wrote: On 02.Apr 2003 - 13:01:14, Tauber, Mathias HDP wrote: Hi, wie kann ich denn einem User (nobody) das nutzen einer Shell verbieten. In der /etc/passwd steht für nobody: nobody:x:65534:65534:nobody:/home:/bin/sh Was hast du denn gemacht? Bei mir steht da: nobody:x:65534:65534:nobody:/nonexistent:/bin/sh Und ich kann mich nicht als nobody einloggen, außer als root ein su nobody machen. Aber sowas geht ja IMHO immer. Na ja wenn da eine nicht funktionstuechtige shell steht must Du beim su noch mit -c /bin/bash als das auzufuehrende Programm mit geben. Allerdings wenn jemand root ist warum sollte er dann wieder nobody werden wollen. Abgesehen davon koennte er sich dann auch gleich die shell in der passwd aendern. Sven -- It really sucks to give your heart to a girl You want to know her like she knows the whole world But 10 seconds in, it's obvious, your going nowhere... [Bowling for Soup - Drunk Enough To Dance - I Don't Wanna Rock] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: User Shell zuweisen
Hallo Andreas, Was hast du denn gemacht? Bei mir steht da: nobody:x:65534:65534:nobody:/nonexistent:/bin/sh Und ich kann mich nicht als nobody einloggen, außer als root ein su nobody machen. Aber sowas geht ja IMHO immer. hier der Auszug von dem Security-Tool tiger: ... # Performing check of user accounts... # Checking accounts from /etc/passwd. --WARN-- [acc001w] Login ID nobody is disabled, but still has a valid shell (/bin/sh). ... Ich bin halt davon ausgegangen, dass es Sinn macht die Warnung nicht einfach zu ignorieren. Wenn ich mir jedoch die Threads (Links siehe Sven) anschaue, bin ich mir auch nicht mehr ganz sicher... Gruß Mathias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: User Shell zuweisen
Nochmal, wenn wir schon dabei sind: Lohnt es sich, oder besser gesagt macht es Sinn, die Einstellung auch für andere Accounts zu ändern? Hat da irgend jemand schon Erfahrung mit? Gruß Mathias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: User Shell zuweisen
On Wed, Apr 02, 2003 at 02:47:56PM +0200, Tauber, Mathias HDP wrote: Nochmal, wenn wir schon dabei sind: Lohnt es sich, oder besser gesagt macht es Sinn, die Einstellung auch für andere Accounts zu ändern? Hat da irgend jemand schon Erfahrung mit? Sagen wir mal so wenn Du das ganze komplett haben willst dann must Du das schon bei allen usern durch ziehen. Abgesehen davon sollte in einer idealen Umgebung die Gefahr beim user nobody besonders gering sein da er keine festen services mehr besitzt die unter seiner userid laufen. apache, ftpd etc bekommen ja geschickterweise gleich eine eigene damit halt auch immer nur ein service und nicht gleich ein ganzer haufen betroffen ist. Wie in dem englischen Thread schon erwaehnt _koennte_ es bei einigen Scripten die per cron laufen und beim su keine shell mitgeben probleme geben wenn der User keine Shell mehr hat. Das wird ein Blick in die Logfiles aber recht schnell offenbaren denke ich. Ich wuerde sowas auch von logcheck per mail bekommen. Ich bin der Meinung dass das zusaetzliche Risiko durch die User ohne login aber mit shell fuer mich tragbar ist. Ob das bei Dir auch der Fall ist must Du selber entscheiden. Es ist allerdings nicht zu verleugnen das es potentiell gefaehrlicher ist. Allerdings IMHO halt nur in sehr geringen Rahmen. Sven -- It really sucks to give your heart to a girl You want to know her like she knows the whole world But 10 seconds in, it's obvious, your going nowhere... [Bowling for Soup - Drunk Enough To Dance - I Don't Wanna Rock] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: User Shell zuweisen
Tauber, Mathias HDP wrote: Lohnt es sich, oder besser gesagt macht es Sinn, die Einstellung auch für ^ wenn es besser sein soll, hat und vielleicht ein unbest. Artikel vor Sinn andere Accounts zu ändern? Hat da irgend jemand schon Erfahrung mit? Es gibt wohl eine ganze Reihe von Leuten, die Dir schon gesagt haben, daß das Problem möglicherweise keines ist. Andererseits könnte die Standard-Shell bei der Ausführung von Skripten Probleme genem (übrigens auch bei nobody, abgesehen davon, daß man nobody ja ohnehin nicht benutzen soll): # su user-ohne-shell -c /usr/bin/dpkg-architecture # su user-mit-shell -c /usr/bin/dpkg-architecture DEB_BUILD_ARCH=i386 DEB_BUILD_GNU_CPU=i386 DEB_BUILD_GNU_SYSTEM=linux DEB_BUILD_GNU_TYPE=i386-linux DEB_HOST_ARCH=i386 DEB_HOST_GNU_CPU=i386 DEB_HOST_GNU_SYSTEM=linux DEB_HOST_GNU_TYPE=i386-linux Im großen und ganzen würde ich damit Rechnen, daß diejenigen Maintainer, die auf eine Shell für ihre Benutzer verzichten können, dort ohnehin /bin/false eintragen. (Sagt die LSB etwas zu nobodys Shell?) Gruß T. pgp0.pgp Description: PGP signature
Re: User Shell zuweisen
Danke für Eure Hilfe! Ich wollte mich zum Abschluss nochmal für Eure freundliche Unterstützung bedanken. Ich werde jetzt noch diverse Tests durchführen und dann wohl eine Entscheidung treffen können. Gruß Mathias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: User Shell zuweisen
* Sven Hoexter schrieb am 02.Apr.2003: On Wed, Apr 02, 2003 at 01:01:14PM +0200, Tauber, Mathias HDP wrote: wie kann ich denn einem User (nobody) das nutzen einer Shell verbieten. In der /etc/passwd steht für nobody: nobody:x:65534:65534:nobody:/home:/bin/sh Wie sollte der Eintrag denn am Besten aussehen? mache aus dem /bin/sh nichts oder was ungefaehrliches wie /bin/false oder /dev/null Gibt es eine dummyShell mit der er nichts machen kann oder kann ich den Teil für die Shell einfach weglassen? Einfach weglassen solte auch gehen, sonst /bin/false Wenn da gar nichts steht, wird AFAIK /bin/sh als default genommen. Bernd -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: User Shell zuweisen
On Wed, Apr 02, 2003 at 04:02:44PM +0200, Bernd Brodesser wrote: * Sven Hoexter schrieb am 02.Apr.2003: On Wed, Apr 02, 2003 at 01:01:14PM +0200, Tauber, Mathias HDP wrote: Hallo Bernd, immer wieder schoen alt bekannte Namen wieder zu lesen :) Gibt es eine dummyShell mit der er nichts machen kann oder kann ich den Teil für die Shell einfach weglassen? Einfach weglassen solte auch gehen, sonst /bin/false Wenn da gar nichts steht, wird AFAIK /bin/sh als default genommen. Du hast recht :) ok ich revidiere den ersten Teil meiner Empfehlung und plaediere fuer /bin/false. Sven -- It really sucks to give your heart to a girl You want to know her like she knows the whole world But 10 seconds in, it's obvious, your going nowhere... [Bowling for Soup - Drunk Enough To Dance - I Don't Wanna Rock] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
