[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux-team] login interdit/su ok



On Mon, Aug 02, 1999 at 11:16:14PM +0200, becket@linuxbe.org wrote:
> 
> On 02-Aug-99 Pascal Bleser wrote:
> > On Fri, Jul 30, 1999 at 08:06:25PM +0200, becket@linuxbe.org wrote:
> >> 
> >> On 30-Jul-99 Pascal Bleser wrote:
> >> > Existe-t-il une possibilité d'interdire le login direct d'un
> >> > acompte (par telnet, rexec, rsh et xdm) mais d'autoriser qu'on
> >> > fasse un su - sur cet utilisateur ?
> >> oui tu mets son shell en /bin/false  tout simplement.
> > Ah non: si tu fais ça, tu ne peux plus faire un su sur cet utilisateur.
> > Comme ça, tu interdis *complètement* le login.
> > Je voudrais juste que pour l'utilisateur xxx, on ne puisse plus de connecter
> > directement à distance (la console, on n'y a pas accès, de toute façon ;)),
> > mais obliger les utilisateurs à se connecter sur leur login puis faire
> > un "su - xxx".
> > 
> >> avec cette methode ci ..l'utilisateur n'as pas le droit de se connecter en
> >> console 
> > Avec cette méthode-là, il n'a pas le droit de se connecter *du tout*.
> > 
> oups trop vite
> essaye plutot ca alors : tu cp copie false en le renomant ftponly parexemple 
> tu rajoutes /bin/ftponly dans /etc/shells
> et tu tapes ton users avec un shell /bin/ftponly
> tu me diras si ca marche ...
C'est toujours pas ça que je veux ;)
FTP, j'en ai rien à foutre ;))

Bon... on a des acomptes "projets" qui ne correspondent pas à des utilisateurs
mais à des applications ou des systèmes Tuxedo. Je veux interdire le login
direct (càd remote, hein, les utilisateurs n'ont pas accès à la console) en tant
qu'utilisateur projet. Au lieu de ça, ils doivent se logger sous *leur* login
pour ensuite faire un su - user_projet. Pq faire ? parce que dans les statistiques
(consommation CPU, ...), tu vois le login de l'utilisateur et pas l'utilisateur
projet :)
Mais j'aimerais bien forcer ça en interdisant le login direct mais autoriser
le su - sur ces utilisateurs projets. FTP n'a rien à avoir là-dedans...

- tcp_wrappers ne sert à rien, puisque tu sais uniquement interdire l'accès en
  fonction de l'adresse IP, mais pas en fonction du login (ce serait difficile)
- mettre /bin/false ou n'importe quoi du genre comme login ne sert à rien non
  plus, puisque le su - ne marchera pas non plus

C'est bien plus compliqué que ça... ces trucs-là, je les connais pas coeur ;))

-- 
  -o)  Pascal Bleser        |
  /\\  C++/UNIX Development | God is real, unless
 _\_v  ATOS Payment Systems | declared integer.
       Aachen, Germany      | 
<pbleser@atos-group.com>-------<guru@linuxbe.org>

---------
Visit the Linux Supertore Online: http://www.redcorp.com !
If you want to be deleted from the list, send a mail to
majordomo@rtfm.be with "unsubscribe linux-team" in the body.