ttoorrmmoozz
написал 8 февраля 2005 года в 17:09 (793 просмотра)
Ведет себя
неопределенно; открыл 21 тему в форуме, оставил 25 комментариев на сайте.
Все вопросы относятся к современным дистрибутивам .типа 3-й федоры
1. Что означает shadow password support
Что это такое и устанавливается ли эта штука по умолчанию на современных
дистрибутивах ?
2. Как вы можете прокомментировать следующую команду :
rm -f /etc/security/console.apps/
3. Можно ли редактированием всего лишь в одном файле — inetd.conf -
отключить сервисы типа ftp, telnet, shell, login, exec, talk, ntalk, imap на современных дистрибутивах ?
4. Можно ли путем изменения /etc/services добавить сервисы ?
5. Как заблокировать команду su для входа в систему с привилегированными правами ?
// Тему переместил(а) fly4life из форума «UNIX FAQ».
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
ecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.
http://www.tldp.org/HOWTO/Shadow-Password-HOWTO.html
Можно, если эти сервисы запукаются через inetd и перезапустив inetd полсе правки конфига (kill -HUP …)
Всмысле?
Если ты не знаешь рутового пароля (или пароля пользователя на которого нужно перейти), то и ничего не сделаешь.
Как раз имеется ввиду , что пользователь-таки подобрал рутовый пароль :-)
Это механизм хранения паролей. Да, в современных дистрибутивах устанавливается по молчаннию.
Зачем нужны «теневые» пароли — поищи в гугле.
Ну, каков вопрос, таков ответ:
rm — команда для удаления файлов и директорий. С ключиком '-f' (--force) игнорирует всякие ошибки и ничего не выводит на консоль в процессе удаления. /etc/security/console.apps/ — некий файл. Приведённая тобой команда удаляет некий загадочный файл , игнорируя ошибки при удалении.
;)
Теперь это xinetd.conf. Если перечисленные тобой сервисы не запускаются как standalone, то можно.
Если вообще отключить сам xinetd, то ничего редактировать не надо ;)
П.С. Что за сервисы ’shell' и 'login' я так и не понял.
А что мы понимаем под словом «сервис»?
В /etc/services находятся описания сервисов. Точнее, соответствия портов стандартным сервисам. Нужно это для того, чтобы некоторые программы могли обращаться по имени сервиса, а не по цифровому занчению (порту).
Зная пароль «привелегированного» пользователя тебе и su не понадобится ;) Намёк понятен?
Вообще-то да , похоже я глупость спорол .
сие верно только для локального доступа…
если удалённый логин рутом запрещён, а на /bun/su выставлено rws-r-x— и только некоторые пользователи внесены в группу, скажем, users_of_su, то, в общем-то, ограничение действенное.
В исходной постановке задачи говорилось о том, чтобы нельзя было логиниться с привилегированными правами с помощью команды su, а не об ограничении круга тех, кто может использовать команду su.
По поводу su я имел ввиду следующее :
у этой команды кажется есть конфиг.
В него можно добавить пару строк типа :
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/Pam_wheel.so group=wheel
Это означает , что только пользователи группы «wheel» смогут залогиниться
через su под рутом
Это конфиг не su, a pam. В Слаке например нет pam и там это делается через login.defs
мнээээ… ээттааа..
я чего-то не понимаю, видимо..
разъясняй тогда давай различия «логиниться … с помощью команды su» и «использовать команду su».
=)
В моём понимании, логиниться — это попасть в оболочку с правами привелегированного пользователя посредством команды ’su’. Т.е., насколько я понял, ttoorrmmoozz’у надо, чтобы использовать команду su не запрещалось никому, но посылало всех нафиг при попытке залогинить под root’ом.
Использовать команду su — это иметь доступ на запуск самой программы, к самому бинарнику /bin/su (т.е. соответствующие права в триадах rwx).
Поэтому «логинить с помощью» и «использовать» для меня разные вещи.
Примерно так ;)
ну, разве что в таком понимании разница есть..
для меня, к примеру, разницы особой в использоваии команды su в вышеописанных позах нет принципиально никакой.
потому как есть более вменяемое sudo…
А что , неужели нельзя настроить терминал на запрет логиниться под юзером root ?
less /etc/securetty
Good Luck,
UT
Спасибо, конечно, но у меня не Linux. Вопрос не требовал ответа.