в системе Linux по умолчанию много пользователей: daemon, bin, sys, games и т. д.
Согласно моему / etc / passwd большинству этих пользователей назначена оболочка (/ bin / sh), которая мне кажется небезопасной. Мое наивное мышление могло бы сказать: дайте только тем пользователям оболочку, которая может входить на сервер.
Я ошибаюсь?
Если не совсем неправильно: могу ли я отключить оболочку для «демона» и «www-данных» без побочных эффектов (например, система не запускается или Apache PHP не может выполнять системные вызовы)?
Добавлено: Мой дистрибутив - это Debian Squeeze.
Спасибо за подсказки!
Мне любопытно, в каком дистрибутиве Linux вы это видите, потому что в большинстве известных мне дистрибутивов (и я только что проверил это на CentOS и Gentoo) оболочка для таких пользователей «отключена», как вы описываете.
Итак, да, можно безопасно установить оболочку на /bin/false или /sbin/nologin. Но, может быть, сначала выясним, почему они вообще не установлены на это значение. Может быть, это что-то специфическое для системы, которую вы смотрите.
Для Debian (как я уже упоминал в первом комментарии) есть этот другой вопрос это может быть актуально. Вы можете видеть, что другие люди тоже считают это ошибкой (ошибка 274229, ошибка 581899, ошибка 330882)
Те пользователи, о которых вы спрашивали, предназначены не для прямого входа в систему, а для запуска под ними программы / процесса, если вообще. Я полагаю, что назначение им оболочки в любом случае навредит. Но одна хорошая проверка - это проверить файл / etc / shadow и посмотреть, является ли второе поле X (зачеркнутым) для этих учетных записей. Это означает, что они не смогут войти в систему и получить оболочку.
Итак, я бы посоветовал сначала проверить файл / etc / shadow, а затем, если хотите, отключите оболочку для этих пользователей и просто позвольте системе работать как обычно, и посмотрите, не сломается ли что-нибудь. Если нет, то все в порядке. Если что-то сломается, и вы обнаружите, что это действительно для изменения оболочки на / bin / false (что, я очень сомневаюсь, произойдет), вернитесь к исходному состоянию. В то время нам нужно будет подумать о дополнительных плагинах безопасности :)