Hallihallo, mal zur Abwechslung eine dumme Frage, die mir aber schon seit langem auf den Nägeln brennt. Nehmen wir an, hier läuft ein sshd. Kann sich dann jemand über einen der zahlreichen eingerichteten User wie z.B. adabas, der ja durchaus eine Shell hat (also kein /bin/false), hier via ssh einloggen? Oder sind UIDs <500 von vorneherein nicht erlaubt? Aber was wäre dann mit nobody? Wie steht es eigentlich mit der Sicherheit der Paßwörter dieser standardmäßig eingerichteten User (adabas, cyrus, u.ä.)? Muß ich die alle ändern? Hoffe, das war jetzt keine allzu triviale Frage... Gruß Torsten
Hallo Liste! t.wolf@tu-bs.de schrieb:
mal zur Abwechslung eine dumme Frage, die mir aber schon seit langem auf den Nägeln brennt. Nehmen wir an, hier läuft ein sshd. Kann sich dann jemand über einen der zahlreichen eingerichteten User wie z.B. adabas, der ja durchaus eine Shell hat (also kein /bin/false), hier via ssh einloggen? Oder sind UIDs <500 von vorneherein nicht erlaubt? Aber was wäre dann mit nobody? Wie steht es eigentlich mit der Sicherheit der Paßwörter dieser standardmäßig eingerichteten User (adabas, cyrus, u.ä.)? Muß ich die alle ändern?
Das ist eine interessante Frage. Die User haben Ihren Eintrag in /etc/profile und /etc/shadow. Der Shadow-Eintrag ist aber so, dass sich niemand einloggen kann. In /etc/shadow ist das 2. Feld das verschlüsselte Passwort. Wenn sich jemand einlogt, dann wird das eingegebene Passwort verschlüsselt und mit dem Wert in dem 2. Feld von der /etc/shadow verglichen. Die ganzen User haben standardmässig im 2. Feld ein "*" stehen. Dies bedeutet, um Dich anzumelden, musst Du ein Passwort eingeben, welches verschlüsselt genau diese Zeichenkette ergibt. Und dies ist natütlich nicht möglich und somit können sich diese User nicht anmelden. Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
participants (2)
-
Konrad Neitzel
-
Torsten Wolf