URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 26380
[ Назад ]

Исходное сообщение
"Пользователь без пароля"
Отправлено detox , 13-Фев-03 08:14

Доброго.....
Как сделать так, чтобы пользователь вообще не имел пароля, т.е. войти под этим пользователем можно только из-под root командой su nopasswd.
Всего.......

Содержание

RE: Пользователь без пароля,lubeg, 09:20 , 13-Фев-03
- RE: Пользователь без пароля,Mercurius, 09:22 , 13-Фев-03
- RE: Пользователь без пароля,detox, 10:45 , 13-Фев-03
  - RE: Пользователь без пароля,lavr, 11:23 , 13-Фев-03
RE: Пользователь без пароля,gennady, 11:11 , 14-Фев-03
- RE: Пользователь без пароля,gennady, 11:13 , 14-Фев-03
RE: Пользователь без пароля,detox, 12:25 , 14-Фев-03
- RE: Пользователь без пароля,lavr, 12:33 , 14-Фев-03

Сообщения в этом обсуждении

"RE: Пользователь без пароля"
Отправлено lubeg , 13-Фев-03 09:20

>Доброго.....
>Как сделать так, чтобы пользователь вообще не имел пароля, т.е. войти под
>этим пользователем можно только из-под root командой su nopasswd.
>Всего.......

# su
root@~# vipw
и что-нить типа:
username:*:2000:2000::0:0::/home_path:/bin/csh

"RE: Пользователь без пароля"
Отправлено Mercurius , 13-Фев-03 09:22

>>Доброго.....
>>Как сделать так, чтобы пользователь вообще не имел пароля, т.е. войти под
>>этим пользователем можно только из-под root командой su nopasswd.
>>Всего.......
>
>
># su
>root@~# vipw
>
>и что-нить типа:
>username:*:2000:2000::0:0::/home_path:/bin/csh
Хм... а такой пользователь случайно не сможет зайти простым ssh и без пароля?
Если это возможно - то это ж несекурно до джути.

"RE: Пользователь без пароля"
Отправлено detox , 13-Фев-03 10:45

>>Доброго.....
>>Как сделать так, чтобы пользователь вообще не имел пароля, т.е. войти под
>>этим пользователем можно только из-под root командой su nopasswd.
>>Всего.......
>
>
># su
>root@~# vipw
>
>и что-нить типа:
>username:*:2000:2000::0:0::/home_path:/bin/csh
В таком случае можно входить в систему под именем этого пользователя без пароля. А мне нужно, что входить в систему под этим именем мог только root, т.е.
login:notpasswd
Password: и какой пароль бы мы не ввели он не пустит, так как у него не пароля.

"RE: Пользователь без пароля"
Отправлено lavr , 13-Фев-03 11:23

>>>Доброго.....
>>>Как сделать так, чтобы пользователь вообще не имел пароля, т.е. войти под
>>>этим пользователем можно только из-под root командой su nopasswd.
>>>Всего.......
>>
>>
>># su
>>root@~# vipw
>>
>>и что-нить типа:
>>username:*:2000:2000::0:0::/home_path:/bin/csh
>
>В таком случае можно входить в систему под именем этого пользователя без
>пароля. А мне нужно, что входить в систему под этим именем
>мог только root, т.е.
>login:notpasswd
>Password: и какой пароль бы мы не ввели он не пустит, так
>как у него не пароля.
man passwd - и включить мозги, черным по белому в каждой системе написано
про административных пользователей и "*" или "NP" (зависит от системы)
man 5 passwd для BSD систем и man 4 passwd для SYSV
наводка: что будет если у административного пользователя мы заменим поле
с отсутствующим SHELL, на его наличие?
Допустим у нас есть административный пользователь без пароля, но с $HOME
и $SHELL, в этом случае без пароля можно будет войти лишь по rsh авторизации, только когда удаленная машина или ip и username прописаны в /etc/hosts.equiv или в $HOME/.rhosts или через авторизацию по public-key
через ssh при наличии их в $HOME/.ssh/authorized_keys[2] (ssh1/ssh2) и
опять же если в ssh разрешена rsh/rhost авторизация (уже описано)
Если в $HOME у такого пользователя нет .rhosts/.shosts и .ssh и /etc/hosts.equiv пустой или отсутствует, все будет хокей.
Так понятно?

"RE: Пользователь без пароля"
Отправлено gennady , 14-Фев-03 11:11

>Доброго.....
>Как сделать так, чтобы пользователь вообще не имел пароля, т.е. войти под
>этим пользователем можно только из-под root командой su nopasswd.
>Всего.......
Есть такая мысль:
установить sudo, добавить в sudoers строчку (или проверить, что уже есть):
root ALL=(ALL) NOPASSWD: ALL
Добавлять с помощью команды visudo. После этого в поле пароля твоего пользователя ставишь *. Зайти под ним никто не сможет, а рут сможет от его имени выполнять команды:
sudo -u user cmd
Это лучше, чем юзер с пустым паролем.
Да и в логах пишется, кто какую команду запускал.

"RE: Пользователь без пароля"
Отправлено gennady , 14-Фев-03 11:13

>>Доброго.....
>>Как сделать так, чтобы пользователь вообще не имел пароля, т.е. войти под
>>этим пользователем можно только из-под root командой su nopasswd.
>>Всего.......
>Есть такая мысль:
>установить sudo, добавить в sudoers строчку (или проверить, что уже есть):
>root ALL=(ALL) NOPASSWD: ALL
>Добавлять с помощью команды visudo. После этого в поле пароля твоего пользователя
>ставишь *. Зайти под ним никто не сможет, а рут сможет
>от его имени выполнять команды:
>sudo -u user cmd
>Это лучше, чем юзер с пустым паролем.
>Да и в логах пишется, кто какую команду запускал.
Забыл сказать, что можно и так:
sudo -u user csh
и открывается шел от имени юзера.

"RE: Пользователь без пароля"
Отправлено detox , 14-Фев-03 12:25

Сделал проще
В файле /etc/shadow
notasswd:*:12096:0:::::
И ввсе получилось так как я хотел.

"RE: Пользователь без пароля"
Отправлено lavr , 14-Фев-03 12:33

>Сделал проще
>В файле /etc/shadow
>notasswd:*:12096:0:::::
>И ввсе получилось так как я хотел.
осталось лишь сделать пустышки в ~notpasswd/.rhosts, shosts
с chown root.wheel и chmod 400 и ~notpasswd/.ssh с владельцем root
и chmod 500.
Береженного бог бережет, еще лучше впендюрить на них immutable флаг