kong
Well-Known Member
Hallo,
bin gerade dabei einen kleinen stand-alone News & Silc Server einzurichten. Nun würde ich den Zugang gerne so regeln, dass man sich auf einer Webseite einen Account aussuchen kann, den dann verwenden oder auch wieder zurückgeben. So, dass also einerseits nur von mir eingerichtete Accounts überhaupt Zugang haben, andererseits jeder der will (begrenzt durch die Anzahl der von mir eingerichteten Accounts) ohne persönliche Daten übers Netz schieben oder irgendwo speichern zu müssen Zugang bekommt. Bei meinen OpenBSD-Anfängerrecherchen bin ich in der FAQ auf openbsd.org zu der Frage wie man einen ftp-only Account einrichtet auf folgendes gestoßen:
"There are a few ways to do this, but a very common way to do such is to add "/usr/bin/false" into "/etc/shells". Then when you set a users shell to "/usr/bin/false", they will not be able log in interactively, but will be able to use ftp capabilities."
Jetzt die Frage: Wie stehen dazu die übrigen Services, die der Rechner anbietet? Bei ssh ist es ja so, dass die ssh-shell normalerweise nach dem Login die shell des Users startet. Ein User ohne shell bekommt so also keine, die ssh-shell akzeptiert aber Komandos ("accepts commands" laut Doku) - ist das ein Sicherheitsrisiko? Außerdem gibt es ja da auch noch sftp, das dürfte doch genauso wie ftp auch ohne Usershell gehen. Muß ich so einen User ohne shell von der Benutzung von ssh explizit ausschließen? Stimmt meine Annahme, dass so ein User aber im Prinzip nichts daran hindert den silc- oder newsserver zu benutzen, da die ja nicht von der Shell des Users abhängen?
bin gerade dabei einen kleinen stand-alone News & Silc Server einzurichten. Nun würde ich den Zugang gerne so regeln, dass man sich auf einer Webseite einen Account aussuchen kann, den dann verwenden oder auch wieder zurückgeben. So, dass also einerseits nur von mir eingerichtete Accounts überhaupt Zugang haben, andererseits jeder der will (begrenzt durch die Anzahl der von mir eingerichteten Accounts) ohne persönliche Daten übers Netz schieben oder irgendwo speichern zu müssen Zugang bekommt. Bei meinen OpenBSD-Anfängerrecherchen bin ich in der FAQ auf openbsd.org zu der Frage wie man einen ftp-only Account einrichtet auf folgendes gestoßen:
"There are a few ways to do this, but a very common way to do such is to add "/usr/bin/false" into "/etc/shells". Then when you set a users shell to "/usr/bin/false", they will not be able log in interactively, but will be able to use ftp capabilities."
Jetzt die Frage: Wie stehen dazu die übrigen Services, die der Rechner anbietet? Bei ssh ist es ja so, dass die ssh-shell normalerweise nach dem Login die shell des Users startet. Ein User ohne shell bekommt so also keine, die ssh-shell akzeptiert aber Komandos ("accepts commands" laut Doku) - ist das ein Sicherheitsrisiko? Außerdem gibt es ja da auch noch sftp, das dürfte doch genauso wie ftp auch ohne Usershell gehen. Muß ich so einen User ohne shell von der Benutzung von ssh explizit ausschließen? Stimmt meine Annahme, dass so ein User aber im Prinzip nichts daran hindert den silc- oder newsserver zu benutzen, da die ja nicht von der Shell des Users abhängen?
Zuletzt bearbeitet:
