Discussion :

[mouadsa]

Bonjour,

Je suis sur un serveur sous Centos 6.4 que j'ai intégré à un domaine Windows. Tout marche comme il faut. Les utilisateurs peuvent se connecter sur le serveur Linux avec leurs propre compte AD. Sauf que l'idée pour moi et d'interdire au utilisateur du domaine AD d'utiliser un autre shell que bash. Est-il possible?

Merci d'avance

[disedorgue]

Bonjour,

Oui, c'est possible, tu les mets dans une cage (chroot) et tu leur interdit de pouvoir créer des fichiers exécutables sur les partitions où ils ont accès en écriture.

Bon courage

[Sve@r]

Salut
Te suffit de virer tous les /bin/*sh en ne gardant que /bin/sh et /bin/bash...

Maintenant, avis personnel, je n'en vois pas l'utilité. Question sécurité cela n'apporte rien et peut-être que certains users aimeraient bosser en /bin/csh ou autre...

Oui, c'est possible, tu les mets dans une cage (chroot) et tu leur interdit de pouvoir créer des fichiers exécutables sur les partitions où ils ont accès en écriture.

Arf t'as mal lu. Il ne veut pas interdire à ses utilisateurs de créer des shells, il veut juste les forcer à n'utiliser que /bin/bash.

Toutefois ta remarque me permet de rebondir sur l'option "noexec" de mount qu'on peut répercuter dans /etc/fstab. Très pratique dans le cas que tu cites...

[disedorgue]

Bah oui, sinon, rien n'empêche ces utilisateurs de télécharger un autre shell pour l'utiliser.
Comme pas de détails, je vais à l'extrême

[jack-ft]

Sauf que l'idée pour moi et d'interdire au utilisateur du domaine AD d'utiliser un autre shell que bash. Est-il possible?

Peut-être que si tu nous dis pourquoi tu veux cela, on comprendra mieux ton besoin... et on aura plus de billes pour te répondre...

Te suffit de virer tous les /bin/*sh en ne gardant que /bin/sh et /bin/bash...

Qu'adviendra-t-il aux utilisateurs d'un domaine différent du domaine AD???
J'ai un peu peur pour eux...

[Flodelarab]

Il y a un truc qui s'appelle "Les permissions".
Pourquoi ne pas mettre tous ceux qui n'appartiennent pas à AD dans un groupe antiAD qui aurait accès aux *sh ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
ls -l /bin/ksh
-rwxr-xr-- 1 root antiAD 811156 10 avril  2010 /bin/bash

Notez le x du groupe et le - du reste du monde.

[becket]

Je pense ausi que la solution avec les droits est la plus simple mais je trouve qu'avec des acl, ce serait plus simple

[Sve@r]

Il y a un truc qui s'appelle "Les permissions".
Pourquoi ne pas mettre tous ceux qui n'appartiennent pas à AD dans un groupe antiAD qui aurait accès aux *sh ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
ls -l /bin/ksh
-rwxr-xr-- 1 root antiAD 811156 10 avril  2010 /bin/ksh

Notez le x du groupe et le - du reste du monde.

Bien vu. Toutefois t'as laissé le droit "r". Rien n'interdit donc de copier ce ksh chez-soi et donner le droit x à la copie...

[gangsoleil]

Bonjour,

Les solutions proposees sont interessantes, mais le plus interessant serait de savoir pourquoi limiter l'utilisation a bash !

[disedorgue]

On est d'accord, car rien n'empêche de récupérer un shell autre que bash dans son home et de l'utiliser... et je ne parle pas du renommage de fichier...

Sinon, il ne faut pas aussi oublié les commandes tel que chsh et compagnie qui peuvent permettre de changer sont shell de démarrage...