0

nologinTomcatでセキュリティ違反が発生した場合にこのユーザーがシェルを使用できないようにするために、Tomcatをシェルとしてのユーザーとして実行するためのTomcatガイドをいくつか読みました。

このユーザーとしてsetuid(-rws---r-x)を使用し、を使用してスクリプトを実行しようとしましたが、のsu -s /bin/sh my_nologin_user myscript.shようなコマンドを実行できることがわかりましたpwd ps -ef grep

明らかに私はこれを誤解していますが、Tomcat起動スクリプトを編集して任意のシェルコマンドを実行できる場合(ハッキングされている場合)、シェルとしてnologinを使用する意味がわかりません。

4

1 に答える 1

3

nologinシェルはそれを防ぎます:ログイン。システムログインサービス(さまざまなtty、sshdなど)は、実行可能ファイルを実行するためアクセスを拒否しlogin、失敗します。nologinシェルは、信頼できないコードがそのユーザーIDで実行されると、シェルを介して任意のコマンドを実行することを妨げません。

loginシェルとしてnologinを使用することのポイントは、サービスがデフォルト構成を使用し、(おそらく疑似)ttyで実行されている限り、誰かが問題のユーザーとしてシステムにssh/telnetで接続できないことです。

于 2012-08-13T15:04:11.793 に答える