[sage] Kann man den Login mit Deamon-Accounts effektiv verhindern?

Rainer May rainer at net.t-labs.tu-berlin.de
Tue Oct 1 15:32:28 CEST 2013


On Tue, 01 Oct 2013 14:11:21 +0200
Hartmut Goebel <h.goebel at goebel-consult.de> wrote:

> Aber wie setzte ich "deny logon locally" für Unix umsetzen (die shell
> auf /bin/false zu setzen ist mir bekannt)? Kann man effektiv
> verhindern, dass sich jemand mit einem Deamon-Account lokal anmeldet?

Üblicherweise haben Daemon-Accounts einfach kein (eingebbares)
Passwort, z.B. indem in /etc/shadow der eigentlich dort stehende
PW-Hash durch etwas ersetzt wird, das eben kein Hash ist.

> Verhindert eine Shell /bin/false auch, dass jemand per su auf diesen
> Benutzer wechselt?

Für su muss man root sein, oder das PW des Users kennen (s.o.).
Ansonsten, als root unter diesem Umfeld:

root at mail:~# grep postfix /etc/shadow
postfix:*:15005:0:99999:7:::
root at mail:~# grep postfix /etc/passwd
postfix:x:102:105::/var/spool/postfix:/bin/false
root at mail:~# su - postfix
root at mail:~# whoami
root
root at mail:~# 



-- 
 
Rainer May

"A government big enough to give you everything you want 
is also big enough to take away everything you have."
(Thomas Jefferson)



More information about the SAGE mailing list