Bonjour,
J'ai un serveur debian Wheezy et je voudrais créer un utilisateur qui
n'aura accès qu'à certains services (mail et partages samba).
En particulier, je ne veux pas lui donner d'accès à une console locale
(ça ne devrait jamais arrivé puisqu'il n'a pas accès à la salle serveur
!) ou distante (via SSH en particulier).
Est-ce que le fait de supprimer le shell dans son entrée dans le
/etc/passwd suffit ou faut-il faire autre chose ?
++
Mourad
Bonjour,
J'ai un serveur debian Wheezy et je voudrais créer un utilisateur qui
n'aura accès qu'à certains services (mail et partages samba).
En particulier, je ne veux pas lui donner d'accès à une console locale
(ça ne devrait jamais arrivé puisqu'il n'a pas accès à la salle serveur
!) ou distante (via SSH en particulier).
Est-ce que le fait de supprimer le shell dans son entrée dans le
/etc/passwd suffit ou faut-il faire autre chose ?
++
Mourad
Bonjour,
J'ai un serveur debian Wheezy et je voudrais créer un utilisateur qui
n'aura accès qu'à certains services (mail et partages samba).
En particulier, je ne veux pas lui donner d'accès à une console locale
(ça ne devrait jamais arrivé puisqu'il n'a pas accès à la salle serveur
!) ou distante (via SSH en particulier).
Est-ce que le fait de supprimer le shell dans son entrée dans le
/etc/passwd suffit ou faut-il faire autre chose ?
++
Mourad
/sbin/nologin ou /bin/false devrait pouvoir t'aider, on l'utilisait à
mon ancien boulot pour que des users puissent accéder à des espaces f tp
mais ne puissent pas faire de ssh.
/sbin/nologin ou /bin/false devrait pouvoir t'aider, on l'utilisait à
mon ancien boulot pour que des users puissent accéder à des espaces f tp
mais ne puissent pas faire de ssh.
/sbin/nologin ou /bin/false devrait pouvoir t'aider, on l'utilisait à
mon ancien boulot pour que des users puissent accéder à des espaces f tp
mais ne puissent pas faire de ssh.
Bonjour à tous les utilisateurs et développeurs de Debian :
Le 24/11/2013, David S<ml+ a écrit :
> /sbin/nologin ou /bin/false devrait pouvoir t'aider, on l'utilisait à
> mon ancien boulot pour que des users puissent accéder à des espaces ftp
> mais ne puissent pas faire de ssh.
Sur mon ordinateur personnel et à l'attention d'un quelconque invité,
j'ai créé un compte utilisateur "guest" qui a, bien sûr, son
répertoire personnel /home/guest et son mot de passe mais dont j'ai
souhaitais qu'on ne puisse s'en servir que pour se connecter à une
interface graphique par l'intermédiaire d'un gestionnaire de connexion
(Kdm dans mon cas).
Donc pour empêcher de se connecter à travers une interface console (e n
accédant par Ctrl+Alt+F2 par exemple) et d'utiliser un émulateur de
terminaux (tel que Konsole), j'ai dû utiliser la commande "/bin/true"
(au moment de la création de ce compte avec la commande adduser).
Cependant comme je n'ignore pas l'existence de la commande
"/bin/false", j'ai un doute : est-ce que false est préférable à tru e
dans cette situation ?
Finalement, cela a-t-il une quelconque importance ?
Cordialement et à bientôt,
Stéphane.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive:
http://lists.debian.org/CAAqHXE6VVcJwXo0dcMaV82Fm" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/CAAqHXE6VVcJwXo0dcMaV82FmDxZm0AeLcDv2UkD1LB7oQuYD" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/CAAqHXE6VVcJwXo0dcMaV82Fm" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/CAAqHXE6VVcJwXo0dcMaV82FmDxZm0AeLcDv2UkD1LB7oQuYD
Bonjour à tous les utilisateurs et développeurs de Debian :
Le 24/11/2013, David S<ml+debian@davidsanchez.fr> a écrit :
> /sbin/nologin ou /bin/false devrait pouvoir t'aider, on l'utilisait à
> mon ancien boulot pour que des users puissent accéder à des espaces ftp
> mais ne puissent pas faire de ssh.
Sur mon ordinateur personnel et à l'attention d'un quelconque invité,
j'ai créé un compte utilisateur "guest" qui a, bien sûr, son
répertoire personnel /home/guest et son mot de passe mais dont j'ai
souhaitais qu'on ne puisse s'en servir que pour se connecter à une
interface graphique par l'intermédiaire d'un gestionnaire de connexion
(Kdm dans mon cas).
Donc pour empêcher de se connecter à travers une interface console (e n
accédant par Ctrl+Alt+F2 par exemple) et d'utiliser un émulateur de
terminaux (tel que Konsole), j'ai dû utiliser la commande "/bin/true"
(au moment de la création de ce compte avec la commande adduser).
Cependant comme je n'ignore pas l'existence de la commande
"/bin/false", j'ai un doute : est-ce que false est préférable à tru e
dans cette situation ?
Finalement, cela a-t-il une quelconque importance ?
Cordialement et à bientôt,
Stéphane.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive:
http://lists.debian.org/CAAqHXE6VVcJwXo0dcMaV82FmDxZm0AeLcDv2UkD1LB7oQuYD hA@mail.gmail.com
Bonjour à tous les utilisateurs et développeurs de Debian :
Le 24/11/2013, David S<ml+ a écrit :
> /sbin/nologin ou /bin/false devrait pouvoir t'aider, on l'utilisait à
> mon ancien boulot pour que des users puissent accéder à des espaces ftp
> mais ne puissent pas faire de ssh.
Sur mon ordinateur personnel et à l'attention d'un quelconque invité,
j'ai créé un compte utilisateur "guest" qui a, bien sûr, son
répertoire personnel /home/guest et son mot de passe mais dont j'ai
souhaitais qu'on ne puisse s'en servir que pour se connecter à une
interface graphique par l'intermédiaire d'un gestionnaire de connexion
(Kdm dans mon cas).
Donc pour empêcher de se connecter à travers une interface console (e n
accédant par Ctrl+Alt+F2 par exemple) et d'utiliser un émulateur de
terminaux (tel que Konsole), j'ai dû utiliser la commande "/bin/true"
(au moment de la création de ce compte avec la commande adduser).
Cependant comme je n'ignore pas l'existence de la commande
"/bin/false", j'ai un doute : est-ce que false est préférable à tru e
dans cette situation ?
Finalement, cela a-t-il une quelconque importance ?
Cordialement et à bientôt,
Stéphane.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive:
http://lists.debian.org/CAAqHXE6VVcJwXo0dcMaV82Fm" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/CAAqHXE6VVcJwXo0dcMaV82FmDxZm0AeLcDv2UkD1LB7oQuYD" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/CAAqHXE6VVcJwXo0dcMaV82Fm" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/CAAqHXE6VVcJwXo0dcMaV82FmDxZm0AeLcDv2UkD1LB7oQuYD
[…]
Cependant comme je n'ignore pas l'existence de la commande
"/bin/false", j'ai un doute : est-ce que false est préférab le
à true dans cette situation ?
Finalement, cela a-t-il une quelconque importance ?
[â¦]
Cependant comme je n'ignore pas l'existence de la commande
"/bin/false", j'ai un doute : est-ce que false est préférab le
à true dans cette situation ?
Finalement, cela a-t-il une quelconque importance ?
[…]
Cependant comme je n'ignore pas l'existence de la commande
"/bin/false", j'ai un doute : est-ce que false est préférab le
à true dans cette situation ?
Finalement, cela a-t-il une quelconque importance ?
Le 24/11/2013 19:09, Belaïd a écrit :Bonsoir,
On peut aussi profiter des subtilités des modules PAM. Par exemple le
module pam_access.so peut gérer les connexions a travers les tty.
Exemple:
Dans /etc/pam.d/login on rajoute la ligne
auth requisite pam_access.so # pour activé le module
pam_access
puis dans le fichier /etc/security/access.conf:
-:mon_login:tty1 tty2 tty3 tty4 tty5 tty6 # le signe - au début de la
ligne interdit à l'utilisateur mon_login de se connecter a travers les
tty[1-6], donc dans mon cas ne peut se connecter qu'à travers la fen être gdm
On peut aussi configurer PAM pour ssh, etc ...
à voir ...
bonne soirée
J'ai fait simple avec un /bin/false
Mais je ne connaissais pas la configurabilité de PAM et je pense que ce la
pourra me resservir ;)
++
Mourad
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/
Le 24/11/2013 19:09, Belaïd a écrit :
Bonsoir,
On peut aussi profiter des subtilités des modules PAM. Par exemple le
module pam_access.so peut gérer les connexions a travers les tty.
Exemple:
Dans /etc/pam.d/login on rajoute la ligne
auth requisite pam_access.so # pour activé le module
pam_access
puis dans le fichier /etc/security/access.conf:
-:mon_login:tty1 tty2 tty3 tty4 tty5 tty6 # le signe - au début de la
ligne interdit à l'utilisateur mon_login de se connecter a travers les
tty[1-6], donc dans mon cas ne peut se connecter qu'à travers la fen être gdm
On peut aussi configurer PAM pour ssh, etc ...
à voir ...
bonne soirée
J'ai fait simple avec un /bin/false
Mais je ne connaissais pas la configurabilité de PAM et je pense que ce la
pourra me resservir ;)
++
Mourad
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/5292462A.8030005@nativobject.net
Le 24/11/2013 19:09, Belaïd a écrit :Bonsoir,
On peut aussi profiter des subtilités des modules PAM. Par exemple le
module pam_access.so peut gérer les connexions a travers les tty.
Exemple:
Dans /etc/pam.d/login on rajoute la ligne
auth requisite pam_access.so # pour activé le module
pam_access
puis dans le fichier /etc/security/access.conf:
-:mon_login:tty1 tty2 tty3 tty4 tty5 tty6 # le signe - au début de la
ligne interdit à l'utilisateur mon_login de se connecter a travers les
tty[1-6], donc dans mon cas ne peut se connecter qu'à travers la fen être gdm
On peut aussi configurer PAM pour ssh, etc ...
à voir ...
bonne soirée
J'ai fait simple avec un /bin/false
Mais je ne connaissais pas la configurabilité de PAM et je pense que ce la
pourra me resservir ;)
++
Mourad
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/
Bonsoir,
On peut aussi profiter des subtilités des modules PAM. Par exemple le module
pam_access.so peut gérer les connexions a travers les tty.
Exemple:
Dans /etc/pam.d/login on rajoute la ligne
auth requisite pam_access.so # pour activé le module pam_access
puis dans le fichier /etc/security/access.conf:
-:mon_login:tty1 tty2 tty3 tty4 tty5 tty6 # le signe - au début de la ligne interdit
à l'utilisateur mon_login de se connecter a travers les tty[1-6], donc dans mon cas ne
peut se connecter qu'à travers la fenêtre gdm
On peut aussi configurer PAM pour ssh, etc ...
à voir ...
bonne soirée
Bonsoir,
On peut aussi profiter des subtilités des modules PAM. Par exemple le module
pam_access.so peut gérer les connexions a travers les tty.
Exemple:
Dans /etc/pam.d/login on rajoute la ligne
auth requisite pam_access.so # pour activé le module pam_access
puis dans le fichier /etc/security/access.conf:
-:mon_login:tty1 tty2 tty3 tty4 tty5 tty6 # le signe - au début de la ligne interdit
à l'utilisateur mon_login de se connecter a travers les tty[1-6], donc dans mon cas ne
peut se connecter qu'à travers la fenêtre gdm
On peut aussi configurer PAM pour ssh, etc ...
à voir ...
bonne soirée
Bonsoir,
On peut aussi profiter des subtilités des modules PAM. Par exemple le module
pam_access.so peut gérer les connexions a travers les tty.
Exemple:
Dans /etc/pam.d/login on rajoute la ligne
auth requisite pam_access.so # pour activé le module pam_access
puis dans le fichier /etc/security/access.conf:
-:mon_login:tty1 tty2 tty3 tty4 tty5 tty6 # le signe - au début de la ligne interdit
à l'utilisateur mon_login de se connecter a travers les tty[1-6], donc dans mon cas ne
peut se connecter qu'à travers la fenêtre gdm
On peut aussi configurer PAM pour ssh, etc ...
à voir ...
bonne soirée
Le dimanche 24 novembre 2013 17:20:19 Stéphane GARGOLY a écrit :Cependant comme je n'ignore pas l'existence de la commande
"/bin/false", j'ai un doute : est-ce que false est préférable
à true dans cette situation ?
D’habitude, on utilise false.Finalement, cela a-t-il une quelconque importance ?
true renvoie 0, false renvoie 1. Ça a de l’importance dans le
sens où true réussit et false échoue et que, en général, on aim e
bien savoir quand ça échoue, surtout quand c’est silencieux.
Le dimanche 24 novembre 2013 17:20:19 Stéphane GARGOLY a écrit :
Cependant comme je n'ignore pas l'existence de la commande
"/bin/false", j'ai un doute : est-ce que false est préférable
à true dans cette situation ?
Dhabitude, on utilise false.
Finalement, cela a-t-il une quelconque importance ?
true renvoie 0, false renvoie 1. Ça a de limportance dans le
sens où true réussit et false échoue et que, en général, on aim e
bien savoir quand ça échoue, surtout quand cest silencieux.
Le dimanche 24 novembre 2013 17:20:19 Stéphane GARGOLY a écrit :Cependant comme je n'ignore pas l'existence de la commande
"/bin/false", j'ai un doute : est-ce que false est préférable
à true dans cette situation ?
D’habitude, on utilise false.Finalement, cela a-t-il une quelconque importance ?
true renvoie 0, false renvoie 1. Ça a de l’importance dans le
sens où true réussit et false échoue et que, en général, on aim e
bien savoir quand ça échoue, surtout quand c’est silencieux.
[…]
Avec true, en tout cas, je retrouve, dans le fichier
/var/log/auth.log, la trace des tentatives de connexion (voir
note 1) du compte guest soit par console ou soit à travers
d'un émulateur de terminal (voir note 2).
[…]
Donc concernant false, je ne vois pas très bien ce que cela
peut m'apporter de plus par rapport à true.
[ ]
Avec true, en tout cas, je retrouve, dans le fichier
/var/log/auth.log, la trace des tentatives de connexion (voir
note 1) du compte guest soit par console ou soit à travers
d'un émulateur de terminal (voir note 2).
[ ]
Donc concernant false, je ne vois pas très bien ce que cela
peut m'apporter de plus par rapport à true.
[…]
Avec true, en tout cas, je retrouve, dans le fichier
/var/log/auth.log, la trace des tentatives de connexion (voir
note 1) du compte guest soit par console ou soit à travers
d'un émulateur de terminal (voir note 2).
[…]
Donc concernant false, je ne vois pas très bien ce que cela
peut m'apporter de plus par rapport à true.