Я нашел это в Интернете, когда устанавливал FTP-сервер во FreeBSD.
Размещение nologin в / etc / shells потенциально создает лазейку, с помощью которой эти учетные записи могут использоваться с FTP.
(видеть: http://osdir.com/ml/freebsd-questions/2005-12/msg02392.html)
Кто-нибудь может объяснить, почему это так? И почему если взять копию логина и поместить ее в / etc / shells, эта проблема решается?
/etc/shells содержит список двоичных файлов, которые система считает (неограниченными) оболочками. Это означает, что предполагается, что любой пользователь, настроивший один из этих двоичных файлов в качестве своей оболочки, имеет полный доступ к системе (то есть он может выполнять любую команду при условии, что у него есть соответствующее разрешение).
Самый прямой результат - они могут использовать chsh к изменение их настроенная оболочка.
Если у пользователя настроена оболочка, не в этом списке система предполагает, что он каким-то образом ограничен. В случае chsh это означает, что пользователь не может измените это значение.
Другие программы могут запросить этот список и применить аналогичные ограничения.
Итак, положив nologin в /etc/shells вы фактически говорите "любой пользователь, у которого nologin поскольку его оболочка считается полноценным, неограниченным пользователем ". Это почти наверняка полная противоположность тому, что nologin должен был сказать.
ftp не предоставляет стандартную оболочку, он предоставляет интерфейс ftp. Пользователи, у которых есть учетная запись, хотя их оболочка указывает на nologin, все равно могут получить доступ к интерфейсу ftp. Кроме того, они по-прежнему смогут получить доступ к любым другим предоставляемым вами службам, которые также не требуют оболочки (например, если у вас есть веб-интерфейс http и т. Д., Который полагается на аутентификацию учетной записи, но не на доступ к оболочке). Это не обязательно черный ход в вашу систему, это черный ход к услугам.