Redhat에서 "nologin"쉘을 사용하여 프로세스 실행

Question

보안이있는 경우이 사용자가 쉘을 사용할 수 없도록하기 위해 톰캣 가이드를 쉘로 사용하여 nologin 사용자로 Tomcat을 실행하는 방법을 읽었습니다. Tomcat에서 위반.

나는 또한 su -s /bin/sh my_nologin_user myscript.sh를 사용하여 setuid를 (-rws---r-x)와 함께이 사용자로 스크립트를 실행하려고 거라고하지만 난 그게 pwd ps -ef grep 같은 명령을 실행할 수 있다는 것을 발견하고있다.

분명히 나는 ​​이것을 오해하고있다. 그러나 Tomcat 시작 스크립트가 해킹 된 경우 쉘 명령을 수행하도록 편집 할 수 있다면 쉘로 nologin을 사용하는 것이 무엇인지 알 수 없다.

Answer 1

nologin shell은 로그인을 방지합니다. 다양한 시스템 로그인 서비스 (다양한 ttys, sshd 등)는 login 실행 파일을 실행하기 때문에 액세스를 거부하며 실패합니다. nologin 쉘은 신뢰할 수없는 코드가 해당 사용자 ID로 실행되면 쉘을 통해 임의의 명령을 실행하지 못하게합니다.

nologin을 쉘로 사용하는 점은 누군가가 문제의 사용자로 ssh/telnet을 할 수 없다는 것입니다. 상기 서비스가 기본 구성을 사용하고 (아마도 의사) tty에 login을 실행하는 한 .