• # sans le shell

    Posté par  . Évalué à 2.

    DAns le fichier /etc/passwd :

    herve:x:500:500:herve couvelard:/home/herve:/bin/bash
    ^^^^^^^^ ici le shell
    tu peux mettre :rien
    par ex :

    herve:x:500:500:herve couvelard:/home/herve:

    voili ?

    • [^] # Re: sans le shell

      Posté par  . Évalué à 3.

      On met souvent /bin/false, mais ça doit revenir au même.

      • [^] # Re: sans le shell

        Posté par  . Évalué à 6.

        Ah non j'ai vérifié dans la page de manuel passwd(5), ce n'est pas la même chose. Si le champ est vide c'est /bin/sh par défaut. Donc il vaut mieux mettre /bin/false.

        • [^] # Re: sans le shell

          Posté par  . Évalué à 2.

          Oui, mais est-ce que l'utilisateur peut encore se logger graphiquement avec ça?

          Si oui, la solution est insuffisante : en éditant ses fichiers de conf', il peut contourner la difficulté en se bricoler un raccourci vers une commande du style "xterm -e /bin/bash".

          Le plus simple, pour parer ça, c'est de jouer sur les groupes pour lui interdire carrément l'exécution de /bin/sh, /bin/bash et `which tcsh` . Cela dit, si l'utilisateur est malin, il copiera à la main un binaire de shell sur son compte, et le tour sera joué.

          A mon avis, pour empêcher vraiment un utilisateur d'utiliser le shell, il n'y a qu'une seule solution fiable : virer l'utilisateur.

          • [^] # Re: sans le shell

            Posté par  (site web personnel) . Évalué à 2.

            sur les linux récents, monter les partitions où l'utilisateur peut écrire en noexec devrait le géner pour copier un shell dans son répertoire. Voir aussi du coté des patches de Trusted Execution Path.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.