Desabilitando o shell do usuário “daemon” (/ bin / false)

4

em um sistema Linux, existem vários usuários por padrão: daemon, bin, sys, games, etc.

De acordo com o meu / etc / passwd, a maioria desses usuários tem um shell (/ bin / sh) que parece um pouco inseguro para mim. Meu pensamento ingênuo diria: só dê a esses usuários um shell que possa acessar o servidor.

O meu pensamento está errado?

Se não estiver completamente errado: Posso desabilitar o shell para "daemon" e "www-data" sem ter efeitos colaterais (por exemplo, o sistema não iniciará ou o Apache PHP não pode exceder as chamadas do sistema)?

Adicionado: Minha distribuição é um Debian Squeeze.

Obrigado pelas suas dicas!

    
por BurninLeo 20.10.2012 / 23:58

2 respostas

2

Estou curioso para saber em que distribuição Linux você está vendo isso, porque a maioria das distribuições que eu conheço (e eu verifiquei isso no CentOS e no Gentoo) tem o shell para esses usuários "desabilitados" como você está descrevendo.

Então, sim, é seguro definir o shell como /bin/false ou /sbin/nologin . Mas talvez primeiro descubra por que eles não estão definidos para esse valor em primeiro lugar. Talvez isso seja algo específico para o sistema que você está olhando.

Para o Debian (como eu vejo mencionado no primeiro comentário) existe esta outra questão que pode ser relevante. Você pode ver que outras pessoas também consideram isso um erro ( bug 274229 , < href="http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=581899"> bug 581899 , bug 330882 )

    
por 21.10.2012 / 05:54
1

Esses usuários que você perguntou não são para login direto, mas para executar um programa / processo sob eles, se forem. Eu imagino que não atribuir nenhum escudo a eles irá prejudicar de qualquer maneira. Mas uma boa verificação é verificar o arquivo / etc / shadow e ver se o segundo campo é X (riscado) para essas contas. Isso significa que eles não conseguirão fazer o login e receber um shell.

Então, meu conselho seria verificar o arquivo / etc / shadow primeiro e, em seguida, se você quiser, vá em frente e desative o shell para esses usuários e deixe o sistema rodar como de costume e veja se alguma coisa quebra. Se nada, então você é bom para ir. Se algo quebrar e você descobrir que é de fato para mudar o shell para / bin / false (o que duvido muito que aconteça), então volte ao original. Naquela época, precisaremos pensar em mais plugins de segurança:)

    
por 21.10.2012 / 18:39