ajouter la ligne/bin/false dans le fichier/etc/shells
20 réponses
Armand
Bonjour, toujours novice, je dois ajouter la ligne/bin/false dans le
fichier/etc/shells, suite à une alerte de CP + !
Merci de me dire comment procéder sous ROOT, les commandes etc ... n'ayant
rien trouvé la dessus sur le Web -
Merci pour une explication en douceur et bien détaillée.
Armand
Oui ben voilà. Faut etre pédagogue de temps en temps. Maintenant toi tu sais ce que false a à ne pas faire dans shells. Tu t'expose au risque que dans quelques jours, le mec il revienne avec d'autes problèmes. On n'est pas sur un truc de hotline. La hotline répond comme tu as fait. Ici c'est groupe de discussion: on _discute_ de ce qu'on fait, et de ce qu'on fait faire.
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
( Thu, 09 Jun 2005 12:09:55 +0200 ) Stef_SM :
Je réponds à sa question. Point.
Oui ben voilà. Faut etre pédagogue de temps en temps.
Maintenant toi tu sais ce que false a à ne pas faire dans shells. Tu
t'expose au risque que dans quelques jours, le mec il revienne avec
d'autes problèmes. On n'est pas sur un truc de hotline. La hotline
répond comme tu as fait. Ici c'est groupe de discussion: on _discute_ de
ce qu'on fait, et de ce qu'on fait faire.
--
Miroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
Oui ben voilà. Faut etre pédagogue de temps en temps. Maintenant toi tu sais ce que false a à ne pas faire dans shells. Tu t'expose au risque que dans quelques jours, le mec il revienne avec d'autes problèmes. On n'est pas sur un truc de hotline. La hotline répond comme tu as fait. Ici c'est groupe de discussion: on _discute_ de ce qu'on fait, et de ce qu'on fait faire.
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Rakotomandimby (R12y) Mihamina
( Thu, 09 Jun 2005 11:41:47 +0200 ) Armand :
Toi t'es un spécialiste pas moi !
Toi tu veux apprendre du jour au lendemain. Pas moi. Et un "spécialiste" te dis que t'as pas la bonne méthode. Ecoute les "spécialistes".
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
( Thu, 09 Jun 2005 11:41:47 +0200 ) Armand :
Toi t'es un spécialiste pas moi !
Toi tu veux apprendre du jour au lendemain. Pas moi.
Et un "spécialiste" te dis que t'as pas la bonne méthode. Ecoute les
"spécialistes".
--
Miroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
Toi tu veux apprendre du jour au lendemain. Pas moi. Et un "spécialiste" te dis que t'as pas la bonne méthode. Ecoute les "spécialistes".
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Armand
"Stef_SM" a écrit dans le message de news:
echo "/bin/false" >> /etc/shells
Est ce que tu sais au moins pourquoi false n'est pas dans /etc/shells?
Oui.
Ca t'arrives souvent de donner le poisson à celui qui a faim au lieu de lui apprendre à pecher?
Je réponds à sa question. Point.
Merci à toi - Ca a fonctionné au poil -
Armand.
-- Stef
"Stef_SM" <nospam@nospam.com> a écrit dans le message de news:
mn.4ad97d564ef3d8db.32522@nospam.com...
echo "/bin/false" >> /etc/shells
Est ce que tu sais au moins pourquoi false n'est pas dans /etc/shells?
Oui.
Ca t'arrives souvent de donner le poisson à celui qui a faim au lieu de
lui apprendre à pecher?
Est ce que tu sais au moins pourquoi false n'est pas dans /etc/shells?
Oui.
Ca t'arrives souvent de donner le poisson à celui qui a faim au lieu de lui apprendre à pecher?
Je réponds à sa question. Point.
Merci à toi - Ca a fonctionné au poil -
Armand.
-- Stef
Jerome Lambert
Ca t'arrives souvent de donner le poisson à celui qui a faim au lieu de lui apprendre à pecher?
Je réponds à sa question. Point.
C'est tout à ton honneur, mais en ne creusant pas le pourquoi de sa question (qui est restée assez vague sur le but recherché), tu risque de lui faire faire des maniuplations au mieux inappropriées à la situation, au pire dangereuses pour la machine.
A faire tout ce qu'on dit sans réfléchir, on finit par suivre ce genre de howto: http://www.pafoo.net/uninstallglibc/uninstglibc.html ;-)
Ca t'arrives souvent de donner le poisson à celui qui a faim au lieu de
lui apprendre à pecher?
Je réponds à sa question. Point.
C'est tout à ton honneur, mais en ne creusant pas le pourquoi de sa
question (qui est restée assez vague sur le but recherché), tu risque de
lui faire faire des maniuplations au mieux inappropriées à la situation,
au pire dangereuses pour la machine.
A faire tout ce qu'on dit sans réfléchir, on finit par suivre ce genre
de howto: http://www.pafoo.net/uninstallglibc/uninstglibc.html ;-)
Ca t'arrives souvent de donner le poisson à celui qui a faim au lieu de lui apprendre à pecher?
Je réponds à sa question. Point.
C'est tout à ton honneur, mais en ne creusant pas le pourquoi de sa question (qui est restée assez vague sur le but recherché), tu risque de lui faire faire des maniuplations au mieux inappropriées à la situation, au pire dangereuses pour la machine.
A faire tout ce qu'on dit sans réfléchir, on finit par suivre ce genre de howto: http://www.pafoo.net/uninstallglibc/uninstglibc.html ;-)
Hugues
Ce cher "Armand" a dit :
"Stef_SM" a écrit dans le message de news:
Bonjour, toujours novice, je dois ajouter la ligne/bin/false dans le fichier/etc/shells, suite à une alerte de CP + !
Merci de me dire comment procéder sous ROOT, les commandes etc ... n'ayant rien trouvé la dessus sur le Web - Merci pour une explication en douceur et bien détaillée. Armand
echo "/bin/false" >> /etc/shells
Merci de ton aide plus constructive que les remarques déplacées et ma lvenues
d'autres -
Pour etre plus precis, le fichier /etc/shells contient la liste de tous les shells qui peuvent etre utilises en tant que tel sur ta machine. La commande chsh par exemple se sert de ce fichier pour lister les she lls disponibles et verifier que ce que tu veux utiliser est bien un "shell".
Si tu avais lu la page man de chsh (man chsh), tu aurais tout de suite tro uve cette information. Je ne te fais pas de reproche, je te dis juste comment on trouve l'info ;)
Je suppose que tu n'as pas besoin de plus d'infos pour le "echo" et le ">>" je suppose ? Sinon : man echo pour le premier, et google "shell redirections" pour le se cond.
Cordialement. -- Hugues - Debianiste avant tout - http://www.nullpart.net/~hugues/Linux/
Ce cher "Armand" <a.winkler_nospam@wanadoo.fr> a dit :
"Stef_SM" <nospam@nospam.com> a écrit dans le message de news:
mn.4a397d5689cb6551.32522@nospam.com...
Bonjour, toujours novice, je dois ajouter la ligne/bin/false dans le
fichier/etc/shells, suite à une alerte de CP + !
Merci de me dire comment procéder sous ROOT, les commandes etc ...
n'ayant rien trouvé la dessus sur le Web -
Merci pour une explication en douceur et bien détaillée.
Armand
echo "/bin/false" >> /etc/shells
Merci de ton aide plus constructive que les remarques déplacées et ma lvenues
d'autres -
Pour etre plus precis, le fichier /etc/shells contient la liste de tous les
shells qui peuvent etre utilises en tant que tel sur ta machine.
La commande chsh par exemple se sert de ce fichier pour lister les she lls
disponibles et verifier que ce que tu veux utiliser est bien un "shell".
Si tu avais lu la page man de chsh (man chsh), tu aurais tout de suite tro uve
cette information. Je ne te fais pas de reproche, je te dis juste comment on
trouve l'info ;)
Je suppose que tu n'as pas besoin de plus d'infos pour le "echo" et le ">>" je
suppose ?
Sinon : man echo pour le premier, et google "shell redirections" pour le se cond.
Cordialement.
--
Hugues - Debianiste avant tout - http://www.nullpart.net/~hugues/Linux/
Bonjour, toujours novice, je dois ajouter la ligne/bin/false dans le fichier/etc/shells, suite à une alerte de CP + !
Merci de me dire comment procéder sous ROOT, les commandes etc ... n'ayant rien trouvé la dessus sur le Web - Merci pour une explication en douceur et bien détaillée. Armand
echo "/bin/false" >> /etc/shells
Merci de ton aide plus constructive que les remarques déplacées et ma lvenues
d'autres -
Pour etre plus precis, le fichier /etc/shells contient la liste de tous les shells qui peuvent etre utilises en tant que tel sur ta machine. La commande chsh par exemple se sert de ce fichier pour lister les she lls disponibles et verifier que ce que tu veux utiliser est bien un "shell".
Si tu avais lu la page man de chsh (man chsh), tu aurais tout de suite tro uve cette information. Je ne te fais pas de reproche, je te dis juste comment on trouve l'info ;)
Je suppose que tu n'as pas besoin de plus d'infos pour le "echo" et le ">>" je suppose ? Sinon : man echo pour le premier, et google "shell redirections" pour le se cond.
Cordialement. -- Hugues - Debianiste avant tout - http://www.nullpart.net/~hugues/Linux/
Hugues
Ce cher "Rakotomandimby (R12y) Mihamina" orleans.fr> a dit :
Et de toutes façon, "false" n'a strictement rien à faire dans /etc/shells.
Quel est le probleme ? (ma question est serieuse) Et que preconises-tu a la place ?
Pour moi, utiliser /bin/false n'est pas une mauvaise idee (sauf au cas ou i l y aurait une faille dans ce binaire), mais par contre j'ai lu recemment dans le guide de securisation de Debian qu'ils utilisaient plutot la methode du sh ell "/dev/null" (ce qui me semble etonnant, vu que /dev/null n'est pas executa ble par defaut...
-- Hugues - Debianiste avant tout - http://www.nullpart.net/~hugues/Linux/
Ce cher "Rakotomandimby (R12y) Mihamina" <mihamina.rakotomandimby@etu.univ- orleans.fr> a dit :
Et de toutes façon, "false" n'a
strictement rien à faire dans /etc/shells.
Quel est le probleme ? (ma question est serieuse)
Et que preconises-tu a la place ?
Pour moi, utiliser /bin/false n'est pas une mauvaise idee (sauf au cas ou i l y
aurait une faille dans ce binaire), mais par contre j'ai lu recemment dans le
guide de securisation de Debian qu'ils utilisaient plutot la methode du sh ell
"/dev/null" (ce qui me semble etonnant, vu que /dev/null n'est pas executa ble
par defaut...
--
Hugues - Debianiste avant tout - http://www.nullpart.net/~hugues/Linux/
Ce cher "Rakotomandimby (R12y) Mihamina" orleans.fr> a dit :
Et de toutes façon, "false" n'a strictement rien à faire dans /etc/shells.
Quel est le probleme ? (ma question est serieuse) Et que preconises-tu a la place ?
Pour moi, utiliser /bin/false n'est pas une mauvaise idee (sauf au cas ou i l y aurait une faille dans ce binaire), mais par contre j'ai lu recemment dans le guide de securisation de Debian qu'ils utilisaient plutot la methode du sh ell "/dev/null" (ce qui me semble etonnant, vu que /dev/null n'est pas executa ble par defaut...
-- Hugues - Debianiste avant tout - http://www.nullpart.net/~hugues/Linux/
Rakotomandimby (R12y) Mihamina
( Thu, 09 Jun 2005 16:02:25 +0200 ) Hugues :
Quel est le probleme ?
/bin/false n'est pas un shell. Si tu mets le shell d'un user en /bin/false, essaie de te connecter en SSH avec cet user, ce n'est pas possible.
En fonction du systeme on met /bin/nologin ou /bin/false pour les users dont on veut restreindre l'accès au système.
On mets /bin/false aux users à qui on ne veut pas donner de shell.
(ma question est serieuse) Et que preconises-tu a la place ?
L'une des deux suivantes:
De donner un shell à l'user qui tente de se connecter en FTP
Dire au serveur FTP de laisser les users au shell non valide se connecter.
C'est faisable au moins sous ProFTPd et vsftpd.
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
( Thu, 09 Jun 2005 16:02:25 +0200 ) Hugues :
Quel est le probleme ?
/bin/false n'est pas un shell.
Si tu mets le shell d'un user en /bin/false, essaie de te connecter en SSH
avec cet user, ce n'est pas possible.
En fonction du systeme on met /bin/nologin ou /bin/false pour les users
dont on veut restreindre l'accès au système.
On mets /bin/false aux users à qui on ne veut pas donner de shell.
(ma question est serieuse) Et que preconises-tu
a la place ?
L'une des deux suivantes:
De donner un shell à l'user qui tente de se connecter en FTP
Dire au serveur FTP de laisser les users au shell non valide se connecter.
C'est faisable au moins sous ProFTPd et vsftpd.
--
Miroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
/bin/false n'est pas un shell. Si tu mets le shell d'un user en /bin/false, essaie de te connecter en SSH avec cet user, ce n'est pas possible.
En fonction du systeme on met /bin/nologin ou /bin/false pour les users dont on veut restreindre l'accès au système.
On mets /bin/false aux users à qui on ne veut pas donner de shell.
(ma question est serieuse) Et que preconises-tu a la place ?
L'une des deux suivantes:
De donner un shell à l'user qui tente de se connecter en FTP
Dire au serveur FTP de laisser les users au shell non valide se connecter.
C'est faisable au moins sous ProFTPd et vsftpd.
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Hugues
Ce cher "Rakotomandimby (R12y) Mihamina" orleans.fr> a dit :
( Thu, 09 Jun 2005 16:02:25 +0200 ) Hugues :
Quel est le probleme ?
/bin/false n'est pas un shell. Si tu mets le shell d'un user en /bin/false, essaie de te connecter en SSH avec cet user, ce n'est pas possible.
En fonction du systeme on met /bin/nologin ou /bin/false pour les users dont on veut restreindre l'accès au système.
On mets /bin/false aux users à qui on ne veut pas donner de shell.
Oui, dans ce cas on est parfaitement d'accord. Grosso modo tu preconises plutot, en tant que root, d'aller mettre ce sh ell dans le fichier /etc/passwd pour les utilisateurs concernes plutot que le rajouter dans /etc/shell et demander a un outil de le faire a ta place, au risque de voir un utilisateur changer son shell pour celui ci "par accident " ?
Je trouve donc cela parfaitement logique, et admets que tu as completem ent raison sur ce point, d'autant plus que c'est ma politique.
Je croyais que tu parlais plutot d'un probleme lie a la securite, mais en f ait non.
(ma question est serieuse) Et que preconises-tu a la place ?
L'une des deux suivantes:
De donner un shell à l'user qui tente de se connecter en FTP
Dire au serveur FTP de laisser les users au shell non valide se connecter.
C'est faisable au moins sous ProFTPd et vsftpd.
Pourquoi tu me parles de FTP ? Il y a un truc qui m'echappe.
-- Hugues - Debianiste avant tout - http://www.nullpart.net/~hugues/Linux/
Ce cher "Rakotomandimby (R12y) Mihamina" <mihamina.rakotomandimby@etu.univ- orleans.fr> a dit :
( Thu, 09 Jun 2005 16:02:25 +0200 ) Hugues :
Quel est le probleme ?
/bin/false n'est pas un shell.
Si tu mets le shell d'un user en /bin/false, essaie de te connecter en SSH
avec cet user, ce n'est pas possible.
En fonction du systeme on met /bin/nologin ou /bin/false pour les users
dont on veut restreindre l'accès au système.
On mets /bin/false aux users à qui on ne veut pas donner de shell.
Oui, dans ce cas on est parfaitement d'accord.
Grosso modo tu preconises plutot, en tant que root, d'aller mettre ce sh ell
dans le fichier /etc/passwd pour les utilisateurs concernes plutot que le
rajouter dans /etc/shell et demander a un outil de le faire a ta place, au
risque de voir un utilisateur changer son shell pour celui ci "par accident " ?
Je trouve donc cela parfaitement logique, et admets que tu as completem ent
raison sur ce point, d'autant plus que c'est ma politique.
Je croyais que tu parlais plutot d'un probleme lie a la securite, mais en f ait
non.
(ma question est serieuse) Et que preconises-tu
a la place ?
L'une des deux suivantes:
De donner un shell à l'user qui tente de se connecter en FTP
Dire au serveur FTP de laisser les users au shell non valide se connecter.
C'est faisable au moins sous ProFTPd et vsftpd.
Pourquoi tu me parles de FTP ?
Il y a un truc qui m'echappe.
--
Hugues - Debianiste avant tout - http://www.nullpart.net/~hugues/Linux/
Ce cher "Rakotomandimby (R12y) Mihamina" orleans.fr> a dit :
( Thu, 09 Jun 2005 16:02:25 +0200 ) Hugues :
Quel est le probleme ?
/bin/false n'est pas un shell. Si tu mets le shell d'un user en /bin/false, essaie de te connecter en SSH avec cet user, ce n'est pas possible.
En fonction du systeme on met /bin/nologin ou /bin/false pour les users dont on veut restreindre l'accès au système.
On mets /bin/false aux users à qui on ne veut pas donner de shell.
Oui, dans ce cas on est parfaitement d'accord. Grosso modo tu preconises plutot, en tant que root, d'aller mettre ce sh ell dans le fichier /etc/passwd pour les utilisateurs concernes plutot que le rajouter dans /etc/shell et demander a un outil de le faire a ta place, au risque de voir un utilisateur changer son shell pour celui ci "par accident " ?
Je trouve donc cela parfaitement logique, et admets que tu as completem ent raison sur ce point, d'autant plus que c'est ma politique.
Je croyais que tu parlais plutot d'un probleme lie a la securite, mais en f ait non.
(ma question est serieuse) Et que preconises-tu a la place ?
L'une des deux suivantes:
De donner un shell à l'user qui tente de se connecter en FTP
Dire au serveur FTP de laisser les users au shell non valide se connecter.
C'est faisable au moins sous ProFTPd et vsftpd.
Pourquoi tu me parles de FTP ? Il y a un truc qui m'echappe.
-- Hugues - Debianiste avant tout - http://www.nullpart.net/~hugues/Linux/
Rakotomandimby (R12y) Mihamina
( Thu, 09 Jun 2005 16:50:38 +0200 ) Hugues :
Pourquoi tu me parles de FTP ? Il y a un truc qui m'echappe.
Parceque justement le post initial visait à faire fonctionner un serveur FTP. Je me referrait au contexte du thread.
/etc/shells n'est pas utilisé _uniquement_ par le FTP, ce fut donc une erreur de le personnaliser pour le serveur FTP.
Mais il y en a certains qui se contentent du fait que ça marche.
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
( Thu, 09 Jun 2005 16:50:38 +0200 ) Hugues :
Pourquoi tu me parles de FTP ?
Il y a un truc qui m'echappe.
Parceque justement le post initial visait à faire fonctionner un serveur
FTP. Je me referrait au contexte du thread.
/etc/shells n'est pas utilisé _uniquement_ par le FTP, ce fut donc une
erreur de le personnaliser pour le serveur FTP.
Mais il y en a certains qui se contentent du fait que ça marche.
--
Miroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
Pourquoi tu me parles de FTP ? Il y a un truc qui m'echappe.
Parceque justement le post initial visait à faire fonctionner un serveur FTP. Je me referrait au contexte du thread.
/etc/shells n'est pas utilisé _uniquement_ par le FTP, ce fut donc une erreur de le personnaliser pour le serveur FTP.
Mais il y en a certains qui se contentent du fait que ça marche.
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Nicolas George
Hugues wrote in message :
Quel est le probleme ? (ma question est serieuse)
/etc/shells donne la liste des shells « complets », qui sert dans deux sens :
- un utilisateur qui a un shell listé dans /etc/shells peut changer son shell, utiliser un shell différent pour exécuter une commande (option -s de su), etc., alors qu'un utilisateur dont le shell n'y est pas listé n'a pas ces droits ;
- un utilisateur peut changer son shell (quand il en a le droit) uniquement pour un shell listé dans /etc/shells, ce qui évite que par une erreur de manipulation il désactive complètement son accès.
D'après cez deux critères, /bin/false ne doit _pas_ être dans /etc/shells.
Hugues wrote in message <87y89jd3wu.fsf@paranoid.nullpart.net>:
Quel est le probleme ? (ma question est serieuse)
/etc/shells donne la liste des shells « complets », qui sert dans deux
sens :
- un utilisateur qui a un shell listé dans /etc/shells peut changer son
shell, utiliser un shell différent pour exécuter une commande (option -s
de su), etc., alors qu'un utilisateur dont le shell n'y est pas listé n'a
pas ces droits ;
- un utilisateur peut changer son shell (quand il en a le droit) uniquement
pour un shell listé dans /etc/shells, ce qui évite que par une erreur de
manipulation il désactive complètement son accès.
D'après cez deux critères, /bin/false ne doit _pas_ être dans /etc/shells.
/etc/shells donne la liste des shells « complets », qui sert dans deux sens :
- un utilisateur qui a un shell listé dans /etc/shells peut changer son shell, utiliser un shell différent pour exécuter une commande (option -s de su), etc., alors qu'un utilisateur dont le shell n'y est pas listé n'a pas ces droits ;
- un utilisateur peut changer son shell (quand il en a le droit) uniquement pour un shell listé dans /etc/shells, ce qui évite que par une erreur de manipulation il désactive complètement son accès.
D'après cez deux critères, /bin/false ne doit _pas_ être dans /etc/shells.
