[Linux-bruxelles] /etc/shells ? Valid shell ? c'est quoi ça ?

Didier Misson didier.linux at gmail.com
Dim 6 Sep 01:51:25 CEST 2009 

Bonsoir,

serveur Debian Etch

J'ai quelques questions pour comprendre (je ne suis pas bloqué).


J'ai installé ProFTPd.
http://didier.misson.net/blog/2009/08/23/installation-de-proftp/


Pour bloquer certains utilisateurs, pour qu'ils ne puissent pas faire
logon SSH (ils n'ont besoin que de leur boite mails IMAPs ou Webmail),
j'avais modifié dans /etc/passwd le shell pour ces utilisateurs, en
mettant "/bin/false"

Simple et efficace ! Pas moyen de faire logon SSH avec ce shell "false"

Ok... mais pas moyen non plus de faire logon en FTP !
Par défaut, ProFTPd existe un shell valide...

(et pas envie de mettre un shell valide car je ne veux pas qu'ils
puissent aller en console SSH !)

Cela peut se contourner de 2 façons :

- soit je configure ProFTPd pour ne plus vérifier si le shell est valide
Pour cela, je mets cette ligne dans la config de ProFTPd :

# Require a valid shell from /etc/shells.
RequireValidShell off

- soit j'ajouterais "/bin/false" dans le fichier /etc/shells ?

Voici le contenu actuel de ce fichier :

$ less /etc/shells

# /etc/shells: valid login shells
/bin/csh
/bin/sh
/usr/bin/es
/usr/bin/ksh
/bin/ksh
/usr/bin/rc
/usr/bin/tcsh
/bin/tcsh
/usr/bin/esh
/bin/bash
/bin/rbash
/usr/bin/screen
/usr/bin/rssh

Il suffirait que j'ajoute "/bin/false" pour que ProFTPd ne râle plus sur
ces userds interdits de console !

Donc, ok, je ne suis pas bloqué. Je peux appliquer une de ces 2 solutions.

Mais j'ai des questions !

- Pourquoi, par défaut, ProFTPd vérifie la validité du shell de
l'utilisateur FTP ? ça sert à quoi qu'un serveur FTP vérifie cela ?
C'est une question de sécurité ??? ...

- A quoi sert ce genre de fichier "/etc/shells" qui donne la liste des
shells valides ? A quoi ça sert cette vérification ? Dans quel cas
est-ce vérifié (en dehors de ProFTPd) ?

- aucun effet de bord de déclarer que "/bin/flase" serait un shell valide ?


Si vous avez des idées, des réponses, j'aurai appris encore des choses
ce WE ;-)


Merci et bonne nuit,

;-)

-- 
Didier

http://misson.tel  Annuaire Misson
http://drupal.tel  Annuaire Drupal

Plus d'informations sur la liste de diffusion Linux-bruxelles