[linux-support] Security Frage: Shell in /bin/false

[rene moser]

Markus wrote:
> Nein, eigentlich nicht. Du legst ja nur fest, welche Shell der User
> www-data beim Login erhält. Da sich www-data aber nicht einloggt, wird
> das Setting gar nicht verwendet.

Die Antwort ist für mich eigentlich nicht überraschend, jedoch brauchte
ich eine Bestätigung da "jemand" etwas anderes behauptete...

> Das, was die Sicherheit ganz entscheidend verbessert, ist, dem
> Apache-User die Ausführung der Shell ganz zu untersagen (braucht aber
> einiges an Konfiguration, damit danach noch alles funzt).

Grsecurity, AppArmor oder SELinux lässt grüssen...

Thx, kannst weiter idlen :)