Цитата |
---|
/sbin/nologin решает эту проблему |
Псевдо-оболочка /sbin/nologin лишь запрещает пользователю запуск shell, но не препятствует построению туннеля без запуска shell (см. ключи -N и -L консольного ssh-клиента). Таким образом, вместе с доступом к папке по FTP мы также предоставляем пользователю возможность:
- Использовать канал сервера и серверный IP для серфинга в Интернете;
- Напрямую подключаться к MySQL, как если бы он был локальным;
- Напрямую работать с SMTP-сервером, например, делать рассылки.
Это уже несколько больше, чем требовалось. Кроме того, туннель — лишь первое, что пришло в голову. Более чем уверен, что существует еще не одна проблема с безопасностью, связанная с присутствием необязательного пользователя в системе. И это не принимая во внимания еще и вероятные проблемы из-за подмены идентификатора пользователя.
Конечно, можно (и нужно!) отключить возможность использования туннелей. Однако, это уже борьба со следствиями изначально неудачного административного решения. Гораздо правильней было бы сразу применить стандартный и правильный подход для решения стандартной же задачи.
Цитата |
---|
Т.е. ничего по сути не меняется, а в первом случае так еще хуже. |
Есть одно кардинальное отличие: использование виртуальных пользователей не предполагает создание реальных пользователей системы. Последнее же сопряжено с серьезным риском безопасности, что продемонстрировано выше.