Hola :) Carlos E. R. wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Eso no significa que descuides entradas no permitidas por lo que, por ejemplo, los usuarios los puedes dar de alta sin shell (aunque hay formas de saltarse esto), ^^^^^^^^
como ??? me dejaste aun mas curioso !!! se "supone" que un usuario no teniendo un shell valido (/bin/false o /bin/nologin), no se podria aceder al sistema !!!
Si haces ftp a un servidor ... ya tienes una shell, la del ftp. Para salir de ella, puedes ejecutar cosas como:
!/bin/bash
No lo sabía; acabo de probarlo en bucle local y es verdad, funciona incluso con "anonymous", usando vsftpd. Tendré que mirar la documentación para desactivarlo. Lo que no lo he probado es con un usuario que tenga denegada la shell.
Funciona aunque el usuario no tenga shell, ten en cuenta que estás lanzando un comando cualquiera ... y la shell es un comando más. Lo mejor es: - instalar menos shells: más fácil de controlar - que los usuarios que _NO_ deben tener shells (ftp, correo, impresión, smb, ...) pertenezcan a un grupo que _NO_ tenga permisos sobre el comando /bin/bash (que _NO_ lo puedan ejecutar) ... lo mismo para otros comandos - atributos de inmutabilidad de forma que el comando _NO_ se pueda copiar, enlazar, borrar, ... Creo que proftpd o pureftpd lo tenían deshabilitado por defecto, pero no recuerdo bien. En resumen, esto de la seguridad ... es una historia más compleja de lo que parece ;) Rafa -- Rafa Grimán Systems Engineer Silicon Graphics Spain Santa Engracia , 120 - Planta Baja 28003 Madrid, Spain Tel: +34 91 3984200 Fax: +34 91 3984201 Móvil: +34 628 117 940 http://www.sgi.com