Samba をドメイン コントローラとして使用して、Windows マシンをユーザーとして ( 内/etc/passwd
)、Samba データベースにマシンとして追加する必要があります。 ファイルでは、マシンの約半数が のシェルを持ち、残りの半数が を持っていること/etc/passwd
に気付きました。/bin/sh
/bin/false
すべてが であることを望みます/bin/false
が、それが許容され、推奨される方法である場合に限ります。/bin/false
の代わりにを持つマシン アカウントにセキュリティまたは機能上の制限はありますか/bin/sh
?現在、Debian Wheezy では Samba 3 を使用しています。
エントリの例を以下に示します。
cla-teach-54$:x:1367:1386::/home/cla-teach-54$:/bin/sh
cla-teach-55$:x:1369:1388::/home/cla-teach-55$:/bin/sh
cla-teach-56$:x:1562:1583::/home/cla-teach-56$:/bin/sh
cla-teach-57$:x:1846:1864::/home/cla-teach-57$:/bin/false
cla-teach-58$:x:1948:1960::/home/cla-teach-58$:/bin/false
cla-teach-59$:x:1949:1961::/home/cla-teach-59$:/bin/false
(注: ホーム フォルダは存在しません)
答え1
/bin/false
ログイン シェルとして持つことは許容されるだけでなく、望ましいことでもあります。そうしないと、誰かが実際にシステムに侵入してシェル アクセスを取得できるからです。
-s /bin/false
ログインシェルを設定するにはuseraddに渡すことを忘れないでください/bin/false