Mailinglist Archive: opensuse-es (1472 mails)

< Previous Next >
Re: [suse-linux-s] Re: sugerencias - comparativas servidores de correo (postfix, qmail...)
  • From: Rafa Grimán <rgriman@xxxxxxx>
  • Date: Thu, 26 Jan 2006 17:59:20 +0100
  • Message-id: <43D8FFE8.7000607@xxxxxxx>
Hola :)

Carlos E. R. wrote:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


Eso no significa que descuides entradas no permitidas por lo que, por
ejemplo, los usuarios los puedes dar de alta sin shell (aunque hay
formas de saltarse esto),
^^^^^^^^

como ??? me dejaste aun mas curioso !!!
se "supone" que un usuario no teniendo un shell valido (/bin/false o
/bin/nologin), no se podria aceder al sistema !!!

Si haces ftp a un servidor ... ya tienes una shell, la del ftp. Para salir de
ella, puedes ejecutar cosas como:

!/bin/bash

No lo sabía; acabo de probarlo en bucle local y es verdad, funciona incluso con "anonymous", usando vsftpd. Tendré que mirar la documentación para desactivarlo. Lo que no lo he probado es con un usuario que tenga denegada la shell.


Funciona aunque el usuario no tenga shell, ten en cuenta que estás lanzando un comando cualquiera ... y la shell es un comando más.

Lo mejor es:
- instalar menos shells: más fácil de controlar

- que los usuarios que _NO_ deben tener shells (ftp, correo,
impresión, smb, ...) pertenezcan a un grupo que _NO_ tenga
permisos sobre el comando /bin/bash (que _NO_ lo puedan
ejecutar) ... lo mismo para otros comandos

- atributos de inmutabilidad de forma que el comando _NO_ se
pueda copiar, enlazar, borrar, ...

Creo que proftpd o pureftpd lo tenían deshabilitado por defecto, pero no recuerdo bien.

En resumen, esto de la seguridad ... es una historia más compleja de lo que parece ;)

Rafa

--

Rafa Grimán
Systems Engineer

Silicon Graphics Spain
Santa Engracia , 120 - Planta Baja 28003 Madrid, Spain

Tel: +34 91 3984200
Fax: +34 91 3984201
Móvil: +34 628 117 940

http://www.sgi.com


< Previous Next >
Follow Ups