Re: quota ohne user

From: J Wunsch <j(at)uriah.heep.sax.de>
Date: Fri, 2 Mar 2001 21:13:44 +0100



As Clemens Hermann wrote:



> > Nimm echte Systemuser und dann userquotas.  Gib den Usern einen Stern


> > im Paßwortfile (dann kann keiner das Paßwort ausspähen) 


> 


> heisst dann was genau? Der User hat gar kein Passowrt und man kann sich


> generell nicht mit der UID einloggen? Klingt schon mal gut ;-)



Genau das heißt es.  Es gibt kein Paßwort, das man eingeben könnte und


das nach Durchlaufen des Hash-Algorithmus einen Stern ergibt.  Damit


kann man durch Eintragen eines Sternes einen Account aus dem


Paßwortfile vom Zugriff ausklemmen.



> aber wie kommt der dann an die Verzeichnisse? Geht vermutlich nur über


> die group-permissions der Verzeichnisse, oder?



Nein, wieso?  Es gibt ja trotzdem die UID mit all ihren Zugriffs-


rechten (Gruppenmitgliedschaft, $HOME usw.), nur die


Unix-Authentisierung dafür ist nicht möglich (pam_unix.so in


/etc/pam.conf).  Dann kopierst Du Dir den Inhalt von


/usr/src/lib/libpam/pam_unix in ein neues Verzeichnis, sagen wir


pam_ftpd.  Das dortige C-File modifizierst Du so, daß es statt


getpwnam() auf irgendeine andere Datenbank zugreift, in der die


eigentlichen Paßwörter stehen (kann ja weiterhin mit crypt(3)


verschlüsselt sein).  Dann baust Du den PAM-Modul und installierst ihn


in /usr/lib/.



Nun mußt Du noch /etc/pam.conf modifizieren.  Du kannst beim Service


`ftpd' entweder vor dem pam_unix.so eine Zeile einfügen



ftpd	auth	sufficient	pam_ftpd.so	try_first_pass



dann können sich all die Leute, für die pam_ftpd.so das Paßwort als


gültig erklärt, sich in den ftpd einloggen, aber auch noch diejenigen,


die ein Unix-Paßwort haben (wie Du selbst vielleicht).  Oder aber, Du


ersetzt für den Service ftpd das pam_unix.so in der letzten Zeile


gleich durch pam_ftpd.so (also in einer Zeile mit `required'), dann


geht ein Unix-Paßwort gar nicht mehr (wohl aber noch ein S/Key!, der


steht nämlich standardmäßig ganz oben).



Angaben natürlich ohne Gewähr, wenn Du das machst, kontrolliere bitte


sorgfältig, daß Du nicht aufgrund eines Denkfehlers vom mir ein


Scheunentor öffnest...



-- 
cheers, J"org               .-.-.   --... ...--   -.. .  DL8DTL
http://www.sax.de/~joerg/                        NIC: JW11-RIPE
Never trust an operating system you don't have sources for. ;-)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Fri 02 Mar 2001 - 21:20:28 CET













search this site