Andreas Reich
Wie kann ich einem User den Login per Telnet verbieten? Ich habe mal probiert, seine Shell einfach auf /dev/null zu setzen, aber dann ist auch kein ftp-Login mehr möglich.
Richtig. FTP-Logins werden zugelassen, wenn der User eine zugelassene Shell hat, also eine, die in /etc/shells eingetragen ist. Der uebliche Weg ist, /bin/false (das nichts weiter tut als ein "exit 1") als Shell einzusetzen, das sollte bereits in /etc/shells eingetragen sein.
Es ginge sicher per .profile, aber es muss doch eine elegantere Lösung geben?
Die Idee, einfach logout in die ~/.profile zu schreiben, laesst noch zu viele Luecken. Man muesste auf jeden Fall ein chattr +i auf die Datei anwenden, um zu verhindern, dass der User sie (per FTP) ueberschreiben, loeschen oder umbenennen kann. Ausserdem muesste man statt ~/.profile ~/.bash_profile nehmen, da die -- falls vorhanden -- von der bash bevorzugt genommen wird. Schliesslich sollte auch die Datei ~/.bash_logout geschuetzt werden, denn sonst koennte der User darueber irgendwelche Kommandos zur Ausfuehrung bringen. Und natuerlich muss bei alledem sichergestellt sein, dass /etc/profile, ~/.bash_profile und ~/.bash_logout nicht noch irgendwelche anderen Skripts (wie etwa ~/.bashrc) aufrufen, die der User veraendern koennte. Und ich garantiere nicht dafuer, dass das schon alle moeglichen Fallstricke waren... Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org - eilert@linuxfreak.com http://www.informatik.uni-bremen.de/~eilert/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Eilert Brinkmann (eilert@Informatik.Uni-Bremen.DE) wrote: EB> Die Idee, einfach logout in die ~/.profile zu schreiben, laesst noch EB> zu viele Luecken. Man muesste auf jeden Fall ein chattr +i auf die EB> Datei anwenden, um zu verhindern, dass der User sie (per FTP) EB> ueberschreiben, loeschen oder umbenennen kann. Ausserdem muesste man EB> statt ~/.profile ~/.bash_profile nehmen, da die -- falls vorhanden -- EB> von der bash bevorzugt genommen wird. Schliesslich sollte auch die EB> Datei ~/.bash_logout geschuetzt werden, denn sonst koennte der User EB> darueber irgendwelche Kommandos zur Ausfuehrung bringen. Und EB> natuerlich muss bei alledem sichergestellt sein, dass /etc/profile, EB> ~/.bash_profile und ~/.bash_logout nicht noch irgendwelche anderen EB> Skripts (wie etwa ~/.bashrc) aufrufen, die der User veraendern EB> koennte. Und ich garantiere nicht dafuer, dass das schon alle EB> moeglichen Fallstricke waren... Danke, aber so schlau sind meine User gar nicht ;-) (ja, ich weiß, dass man von soetwas nie ausgehen sollte) Aber /dev/false tuts ja schon... :) -- Andreas Reich ICQ #19338732 webmaster@cyraxx.de http://www.cyraxx.de/ webmaster-der-w@uerstchenbu.de http://w.uerstchenbu.de/ andreas@andreasreich.net http://www.gar-nichts.de/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (2)
-
eilert@Informatik.Uni-Bremen.DE
-
webmaster@cyraxx.de