[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux-team] login interdit/su ok
- To: becket@linuxbe.org
- Subject: Re: [linux-team] login interdit/su ok
- From: Pascal Bleser <pbleser@atos-group.com>
- Date: Tue, 3 Aug 1999 09:15:39 +0200
- Cc: Linux Mailing-list <linux@lists.linuxbe.org>, Linux-Team Mailing-list <linux-team@rtfm.be>
- In-reply-to: <XFMail.990802231614.becket@linuxbe.org>; from becket@linuxbe.org on Mon, Aug 02, 1999 at 11:16:14PM +0200
- Mail-followup-to: becket@linuxbe.org,Linux Mailing-list <linux@lists.linuxbe.org>,Linux-Team Mailing-list <linux-team@rtfm.be>
- Organisation: LinuxBe.org (don't fear the penguin)
- References: <> <XFMail.990802231614.becket@linuxbe.org>
- Reply-to: linux-team@rtfm.be
- Sender: owner-linux-team@rtfm.be
On Mon, Aug 02, 1999 at 11:16:14PM +0200, becket@linuxbe.org wrote:
>
> On 02-Aug-99 Pascal Bleser wrote:
> > On Fri, Jul 30, 1999 at 08:06:25PM +0200, becket@linuxbe.org wrote:
> >>
> >> On 30-Jul-99 Pascal Bleser wrote:
> >> > Existe-t-il une possibilité d'interdire le login direct d'un
> >> > acompte (par telnet, rexec, rsh et xdm) mais d'autoriser qu'on
> >> > fasse un su - sur cet utilisateur ?
> >> oui tu mets son shell en /bin/false tout simplement.
> > Ah non: si tu fais ça, tu ne peux plus faire un su sur cet utilisateur.
> > Comme ça, tu interdis *complètement* le login.
> > Je voudrais juste que pour l'utilisateur xxx, on ne puisse plus de connecter
> > directement à distance (la console, on n'y a pas accès, de toute façon ;)),
> > mais obliger les utilisateurs à se connecter sur leur login puis faire
> > un "su - xxx".
> >
> >> avec cette methode ci ..l'utilisateur n'as pas le droit de se connecter en
> >> console
> > Avec cette méthode-là, il n'a pas le droit de se connecter *du tout*.
> >
> oups trop vite
> essaye plutot ca alors : tu cp copie false en le renomant ftponly parexemple
> tu rajoutes /bin/ftponly dans /etc/shells
> et tu tapes ton users avec un shell /bin/ftponly
> tu me diras si ca marche ...
C'est toujours pas ça que je veux ;)
FTP, j'en ai rien à foutre ;))
Bon... on a des acomptes "projets" qui ne correspondent pas à des utilisateurs
mais à des applications ou des systèmes Tuxedo. Je veux interdire le login
direct (càd remote, hein, les utilisateurs n'ont pas accès à la console) en tant
qu'utilisateur projet. Au lieu de ça, ils doivent se logger sous *leur* login
pour ensuite faire un su - user_projet. Pq faire ? parce que dans les statistiques
(consommation CPU, ...), tu vois le login de l'utilisateur et pas l'utilisateur
projet :)
Mais j'aimerais bien forcer ça en interdisant le login direct mais autoriser
le su - sur ces utilisateurs projets. FTP n'a rien à avoir là-dedans...
- tcp_wrappers ne sert à rien, puisque tu sais uniquement interdire l'accès en
fonction de l'adresse IP, mais pas en fonction du login (ce serait difficile)
- mettre /bin/false ou n'importe quoi du genre comme login ne sert à rien non
plus, puisque le su - ne marchera pas non plus
C'est bien plus compliqué que ça... ces trucs-là, je les connais pas coeur ;))
--
-o) Pascal Bleser |
/\\ C++/UNIX Development | God is real, unless
_\_v ATOS Payment Systems | declared integer.
Aachen, Germany |
<pbleser@atos-group.com>-------<guru@linuxbe.org>
---------
Visit the Linux Supertore Online: http://www.redcorp.com !
If you want to be deleted from the list, send a mail to
majordomo@rtfm.be with "unsubscribe linux-team" in the body.