Ja som si prečítal niekoľko príručiek Tomcatu, ktoré by ste mohli používať s Tomcatom nologin ako shell, aby sa zabránilo tomu, že tento používateľ bude môcť používať shell, ak by došlo k narušeniu bezpečnosti v Tomcat.
Skúsil som spustiť skript ako tento používateľ s nastaveným súborom (-rws---r-x) a tiež pomocou su -s /bin/sh my_nologin_user myscript.sh ale zisťujem, že je schopný vykonať príkazy, ako je pwd
ps -ef
grep .
Je zrejmé, že som to nedorozumel, ale nemôžem vidieť, aký je zmysel používať nologin ako shell, ak by spúšťací skript Tomcat mohol byť upravený tak, aby vykonal akýkoľvek shell príkaz (ak bol napadnutý).
odpovede:
3 pre odpoveď č. 1Plášť nologin zabraňuje len: prihlásenie. Akékoľvek systémové prihlasovacie služby - rôzne ttys, sshd atď., Odmietnu prístup, pretože spustia login spustiteľný a ktorý zlyhá. Nelineárny shell neumožní zabrániť spúšťaniu ľubovoľných príkazov cez shell, akonáhle nedôjde k nedôveryhodnému kódu pod daným ID užívateľa.
Bod používania nologin ako shellu je, že niekto môže ssh / telnet do vášho systému ako daný používateľ - pokiaľ uvedené služby použijú predvolenú konfiguráciu a spustiť login na (prípadne pseudo) tty.