On Sat, 2007-02-10 at 18:58 +0100, Jarek Buczyński wrote: > > Użytkownik jako powłokę ma wpis /usr/bin/passwd co umożliwia mu > > zalogowanie po ssh i zmianę własnego hasła, tylko hasła. Aby to > działało > > musiałem dodać wpis "/usr/src/passwd" do "/etc/shells" > > > > Czy to wiąże się z jakimś naruszeniem zasad bezpieczeństwa systemu? > > Mógłby ktoś napisać coś na ten temat :) Chodzi głównie o ta > modyfikację > /etc/shells
Ma moje oko samo ustawienie takiego shella wygląda ok, domyślny shell jest wywoływany już po logowaniu po ssh - a w końcu użytkownik sam może uruchomić passwd, jeśli ma na to ochotę. Jednak bezpieczeństwo takiego rozwiązania daje wiele do życzenia. Weź pod uwagę kilka spraw: - inni użytkownicy będą mogli ustawić sobie shell na passwd (chsh), zastanów się, czy tego chcesz, - użytkownik z shellem ustawionym na passwd będzie mógł poprosić innego z pełnym shellem aby ustawił temu pierwszemu np. basha dając pełen dostęp (su user -c chsh), - dla użytkowników FTP trzeba tworzyć fizyczne konta w systemie, pamiętając o ustawieniu odpowiedniego shella. W zasadzie wydaje mi się, że podchodzisz do problemu trochę od złej strony. Ja na Twoim miejscu spiąłbym serwer FTP za bazą danych i zrobił prosty webowy interface do zmiany hasła. Masz wtedy userów czysto wirtualnych, którzy nie mogą w ogóle logować się do systemu - co znaczenie zwiększa bezpieczeństwo. Pozdrawiam, Adam -- Adam Byrtek / Alpha "Każdy ideał w ciele jest trywialny" - prawdy algebraiczne
