[Un peu HS]Créer un utilisateur sans accès à une console distante ou locale

Le
Mourad Jaber
Bonjour,

J'ai un serveur debian Wheezy et je voudrais créer un utilisateur qui n'aura accès qu'à
certains services (mail et partages samba).

En particulier, je ne veux pas lui donner d'accès à une console locale (ça ne devrait
jamais arrivé puisqu'il n'a pas accès à la salle serveur !) ou distante (via SSH en
particulier).

Est-ce que le fait de supprimer le shell dans son entrée dans le /etc/passwd suffit ou
faut-il faire autre chose ?

++

Mourad

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/5291CB3D.7050809@nativobject.net
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
David S
Le #25814032
On 24/11/2013 10:47, Mourad Jaber wrote:
Bonjour,

J'ai un serveur debian Wheezy et je voudrais créer un utilisateur qui
n'aura accès qu'à certains services (mail et partages samba).

En particulier, je ne veux pas lui donner d'accès à une console locale
(ça ne devrait jamais arrivé puisqu'il n'a pas accès à la salle serveur
!) ou distante (via SSH en particulier).

Est-ce que le fait de supprimer le shell dans son entrée dans le
/etc/passwd suffit ou faut-il faire autre chose ?

++

Mourad



Hello,

/sbin/nologin ou /bin/false devrait pouvoir t'aider, on l'utilisait à
mon ancien boulot pour que des users puissent accéder à des espaces ftp
mais ne puissent pas faire de ssh.

http://www.cyberciti.biz/faq/linux-binfalse-vs-sbinnologin-deny-login/

A+

D. S.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Stéphane GARGOLY
Le #25815202
Bonjour à tous les utilisateurs et développeurs de Debian :

Le 24/11/2013, David S
/sbin/nologin ou /bin/false devrait pouvoir t'aider, on l'utilisait à
mon ancien boulot pour que des users puissent accéder à des espaces f tp
mais ne puissent pas faire de ssh.



Sur mon ordinateur personnel et à l'attention d'un quelconque invité,
j'ai créé un compte utilisateur "guest" qui a, bien sûr, son
répertoire personnel /home/guest et son mot de passe mais dont j'ai
souhaitais qu'on ne puisse s'en servir que pour se connecter à une
interface graphique par l'intermédiaire d'un gestionnaire de connexion
(Kdm dans mon cas).

Donc pour empêcher de se connecter à travers une interface console (en
accédant par Ctrl+Alt+F2 par exemple) et d'utiliser un émulateur de
terminaux (tel que Konsole), j'ai dû utiliser la commande "/bin/true"
(au moment de la création de ce compte avec la commande adduser).

Cependant comme je n'ignore pas l'existence de la commande
"/bin/false", j'ai un doute : est-ce que false est préférable à true
dans cette situation ?

Finalement, cela a-t-il une quelconque importance ?

Cordialement et à bientôt,

Stéphane.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Belaïd
Le #25815342
--001a11c347e0a9256a04ebf02505
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonsoir,
On peut aussi profiter des subtilités des modules PAM. Par exemple le
module pam_access.so peut gérer les connexions a travers les tty.
Exemple:
Dans /etc/pam.d/login on rajoute la ligne
auth requisite pam_access.so # pour activé le module pam_acce ss
puis dans le fichier /etc/security/access.conf:

-:mon_login:tty1 tty2 tty3 tty4 tty5 tty6 # le signe - au début de la
ligne interdit à l'utilisateur mon_login de se connecter a travers les
tty[1-6], donc dans mon cas ne peut se connecter qu'à travers la fenêtr e gdm
On peut aussi configurer PAM pour ssh, etc ...
à voir ...
bonne soirée



Le 24 novembre 2013 18:20, Stéphane GARGOLY écrit :

Bonjour à tous les utilisateurs et développeurs de Debian :

Le 24/11/2013, David S > /sbin/nologin ou /bin/false devrait pouvoir t'aider, on l'utilisait à
> mon ancien boulot pour que des users puissent accéder à des espaces ftp
> mais ne puissent pas faire de ssh.

Sur mon ordinateur personnel et à l'attention d'un quelconque invité,
j'ai créé un compte utilisateur "guest" qui a, bien sûr, son
répertoire personnel /home/guest et son mot de passe mais dont j'ai
souhaitais qu'on ne puisse s'en servir que pour se connecter à une
interface graphique par l'intermédiaire d'un gestionnaire de connexion
(Kdm dans mon cas).

Donc pour empêcher de se connecter à travers une interface console (e n
accédant par Ctrl+Alt+F2 par exemple) et d'utiliser un émulateur de
terminaux (tel que Konsole), j'ai dû utiliser la commande "/bin/true"
(au moment de la création de ce compte avec la commande adduser).

Cependant comme je n'ignore pas l'existence de la commande
"/bin/false", j'ai un doute : est-ce que false est préférable à tru e
dans cette situation ?

Finalement, cela a-t-il une quelconque importance ?

Cordialement et à bientôt,

Stéphane.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive:
http://lists.debian.org/CAAqHXE6VVcJwXo0dcMaV82FmDxZm0AeLcDv2UkD1LB7oQuYD






--
< Belaid >

--001a11c347e0a9256a04ebf02505
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<br>
Le 24/11/2013, David S&lt; <div class="im">&gt; /sbin/nologin ou /bin/false devrait pouvoir t&#39;ai der, on l&#39;utilisait à<br>
&gt; mon ancien boulot pour que des users puissent accéder à des espace s ftp<br>
&gt; mais ne puissent pas faire de ssh.<br>
<br>
</div>Sur mon ordinateur personnel et à l&#39;attention d&#39;un quelconq ue invité,<br>
j&#39;ai créé un compte utilisateur &quot;guest&quot; qui a, bien sûr , son<br>
répertoire personnel /home/guest et son mot de passe mais dont j&#39;ai<b r>
souhaitais qu&#39;on ne puisse s&#39;en servir que pour se connecter à un e<br>
interface graphique par l&#39;intermédiaire d&#39;un gestionnaire de conn exion<br>
(Kdm dans mon cas).<br>
<br>
Donc pour empêcher de se connecter à travers une interface console (en< br>
accédant par Ctrl+Alt+F2 par exemple) et d&#39;utiliser un émulateur de <br>
terminaux (tel que Konsole), j&#39;ai dû utiliser la commande &quot;/bin/ true&quot;<br>
(au moment de la création de ce compte avec la commande adduser).<br>
<br>
Cependant comme je n&#39;ignore pas l&#39;existence de la commande<br>
&quot;/bin/false&quot;, j&#39;ai un doute : est-ce que false est préfér able à true<br>
dans cette situation ?<br>
<br>
Finalement, cela a-t-il une quelconque importance ?<br>
<br>
Cordialement et à bientôt,<br>
<br>
Stéphane.<br>
<div class="im"><br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers En cas de soucis, contactez EN ANGLAIS
<br>
</blockquote></div><br><br clear="all"><br>-- <br>&lt; Belaid &gt;
</div>

--001a11c347e0a9256a04ebf02505--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAFuS2baigCkAHuEFC8AevsyFR3-G8XKqh+
Sylvain L. Sauvage
Le #25815432
Le dimanche 24 novembre 2013 17:20:19 Stéphane GARGOLY a écri t :
[…]
Cependant comme je n'ignore pas l'existence de la commande
"/bin/false", j'ai un doute : est-ce que false est préférab le
à true dans cette situation ?



D’habitude, on utilise false.

Finalement, cela a-t-il une quelconque importance ?



true renvoie 0, false renvoie 1. Ça a de l’importance da ns le
sens où true réussit et false échoue et que, en gén éral, on aime
bien savoir quand ça échoue, surtout quand c’est sile ncieux.

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Belaïd
Le #25815492
--001a11c223144274e204ebf0899a
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Oui je suis bien d'accord tu as fais simple et ça fonctionne. On peut fai re
beaucoup de choses avec PAM, j'ai juste donné un exemple, mais il est
vachement configurable.
Le 24 nov. 2013 19:32, "Mourad Jaber"
Le 24/11/2013 19:09, Belaïd a écrit :

Bonsoir,
On peut aussi profiter des subtilités des modules PAM. Par exemple le
module pam_access.so peut gérer les connexions a travers les tty.
Exemple:
Dans /etc/pam.d/login on rajoute la ligne
auth requisite pam_access.so # pour activé le module
pam_access
puis dans le fichier /etc/security/access.conf:

-:mon_login:tty1 tty2 tty3 tty4 tty5 tty6 # le signe - au début de la
ligne interdit à l'utilisateur mon_login de se connecter a travers les
tty[1-6], donc dans mon cas ne peut se connecter qu'à travers la fen être gdm
On peut aussi configurer PAM pour ssh, etc ...
à voir ...
bonne soirée


J'ai fait simple avec un /bin/false



Mais je ne connaissais pas la configurabilité de PAM et je pense que ce la
pourra me resservir ;)

++

Mourad

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/





--001a11c223144274e204ebf0899a
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le 24/11/2013 19:09, Belaïd a écrit :<br>
Bonsoir,<br>
On peut aussi profiter des subtilités des modules PAM. Par exemple le mod ule pam_access.so peut gérer les connexions a travers les tty.<br>
Exemple:<br>
Dans /etc/pam.d/login on rajoute la ligne<br>
auth   requisite      pam_access.so      # pour activé le m odule pam_access<br>
puis dans le fichier /etc/security/access.conf:<br>
<br>
-:mon_login:tty1 tty2 tty3 tty4 tty5 tty6     # le signe - au début d e la ligne interdit à l&#39;utilisateur mon_login de se connecter a trave rs les tty[1-6], donc dans mon cas ne peut se connecter qu&#39;à travers la fenêtre gdm<br>

On peut aussi configurer PAM pour ssh, etc ...<br>
à voir ...<br>
bonne soirée<br>
<br>
<br>
</blockquote>
J&#39;ai fait simple avec un /bin/false<br>
<br>
Mais je ne connaissais pas la configurabilité de PAM et je pense que cela pourra me resservir ;)<br>
<br>
++<br>
<br>
Mourad<br>
<br>
-- <br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers En cas de soucis, contactez EN ANGLAIS Archive: <br>
</blockquote></div>

--001a11c223144274e204ebf0899a--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAFuS2bY_sQOQV8_+pwqFDBPNpmf4A6pOzaThV2ozta6=r+
Mourad Jaber
Le #25815502
Le 24/11/2013 19:09, Belaïd a écrit :
Bonsoir,
On peut aussi profiter des subtilités des modules PAM. Par exemple le module
pam_access.so peut gérer les connexions a travers les tty.
Exemple:
Dans /etc/pam.d/login on rajoute la ligne
auth requisite pam_access.so # pour activé le module pam_access
puis dans le fichier /etc/security/access.conf:

-:mon_login:tty1 tty2 tty3 tty4 tty5 tty6 # le signe - au début de la ligne interdit
à l'utilisateur mon_login de se connecter a travers les tty[1-6], donc dans mon cas ne
peut se connecter qu'à travers la fenêtre gdm
On peut aussi configurer PAM pour ssh, etc ...
à voir ...
bonne soirée




J'ai fait simple avec un /bin/false

Mais je ne connaissais pas la configurabilité de PAM et je pense que cela pourra me
resservir ;)

++

Mourad

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Stéphane GARGOLY
Le #25815982
Bonjour à tous les utilisateurs et développeurs de Debian :

Le 24/11/2013, Sylvain L. Sauvage
Le dimanche 24 novembre 2013 17:20:19 Stéphane GARGOLY a écrit :
Cependant comme je n'ignore pas l'existence de la commande
"/bin/false", j'ai un doute : est-ce que false est préférable
à true dans cette situation ?



D’habitude, on utilise false.

Finalement, cela a-t-il une quelconque importance ?



true renvoie 0, false renvoie 1. Ça a de l’importance dans le
sens où true réussit et false échoue et que, en général, on aim e
bien savoir quand ça échoue, surtout quand c’est silencieux.



Avec true, en tout cas, je retrouve, dans le fichier
/var/log/auth.log, la trace des tentatives de connexion (voir note 1)
du compte guest soit par console ou soit à travers d'un émulateur de
terminal (voir note 2).

Note 1 : faites par moi mais rassurez-vous, comme je m'y attendais,
toutes mes tentatives ont "lamentablement" échouées. ;-)

Note 2 : pour être précis, à partir d'une session graphique KDE (sous
le compte stephane) et avec Konsole, j'ai passé la commande "su
guest". Mais bien sûr, si j'avais ouvert une session KDE (sous guest
cette fois-ci) et l'émulateur de terminal, le résultat final n'aurait
pas varié.

Donc concernant false, je ne vois pas très bien ce que cela peut
m'apporter de plus par rapport à true.

Cordialement et à bientôt,

Stéphane.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAAqHXE43U-AF-Zkz7-x1odHfhCzyi3atDV+
Sylvain L. Sauvage
Le #25816162
Le dimanche 24 novembre 2013 21:05:52 Stéphane GARGOLY a écrit :
[…]
Avec true, en tout cas, je retrouve, dans le fichier
/var/log/auth.log, la trace des tentatives de connexion (voir
note 1) du compte guest soit par console ou soit à travers
d'un émulateur de terminal (voir note 2).
[…]
Donc concernant false, je ne vois pas très bien ce que cela
peut m'apporter de plus par rapport à true.



Essaie ssh Avec true, tu reçois 0, avec false,
1.
Donc si tu fais
ssh mon_script¹ && echo 'Youpi ! Ça marche !'
avec true, ça affiche « Youpi ! Ça marche ! » alors que non, ç a
ne fonctionne pas et Youpi n’est plus emchereur²…

¹ ou simplement « exit ».
² celui qui trouve toutes les références gagne :o)

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme