ความแตกต่างระหว่าง / sbin / nologin และ / bin / false คืออะไร

ในทางเทคนิคหากไม่มีการpamตั้งค่าให้ตรวจสอบเชลล์ของคุณด้วยpam_shellsสิ่งเหล่านี้จะไม่สามารถป้องกันการเข้าสู่ระบบของคุณได้หากคุณไม่ได้ใช้เชลล์ ในระบบของฉันมีขนาดต่างกันดังนั้นฉันสงสัยว่าพวกเขาทำอะไรบางอย่างจริงๆ ดังนั้นความแตกต่างคืออะไร? ทำไมพวกเขาทั้งสองอยู่? ทำไมฉันถึงต้องใช้อันเดียวกัน

-rwxr-xr-x 1 root root  21K Feb  4 17:01 /bin/false
-rwxr-xr-x 1 root root 4.7K Mar  2 14:59 /sbin/nologin

เมื่อ/sbin/nologinตั้งค่าเป็นเชลล์หากผู้ใช้ที่มีเชลล์นั้นล็อกอินพวกเขาจะได้รับข้อความสุภาพว่า 'บัญชีนี้ไม่สามารถใช้งานได้ในขณะนี้' /etc/nologin.txtข้อความนี้สามารถเปลี่ยนแปลงได้ด้วยไฟล์

/bin/falseเป็นเพียงไบนารีที่ออกทันทีคืนเท็จเมื่อมีการเรียกดังนั้นเมื่อใครบางคนที่มีfalseในฐานะเชลล์เข้าสู่ระบบพวกเขาจะออกจากระบบทันทีเมื่อfalseออกจาก การตั้งค่าเชลล์ให้/bin/trueมีผลเหมือนกันคือไม่อนุญาตให้ใครบางคนเข้าสู่ระบบ แต่falseอาจถูกใช้เป็นแบบแผนtrueเพราะมันจะดีกว่ามากในการถ่ายทอดแนวคิดที่ว่าคนไม่มีเชลล์

เมื่อดูที่nologinหน้า man ก็บอกว่ามันถูกสร้างขึ้นใน 4.4 BSD (ต้นปี 1990) ดังนั้นมันจึงfalseถูกสร้างขึ้นมานาน การใช้falseเปลือกเป็นอาจเป็นเพียงการดำเนินการจากวันแรก ๆ ของ UNIX

nologinเป็นตัวเลือกที่ใช้งานง่ายยิ่งขึ้นโดยมีข้อความที่ปรับแต่งให้กับผู้ใช้ที่พยายามเข้าสู่ระบบดังนั้นคุณจึงต้องการใช้สิ่งนั้นในทางทฤษฎี แต่ทั้งคู่nologinและfalseจะมีผลลัพธ์ที่เหมือนกันจากคนที่ไม่มีเชลล์และไม่สามารถ ssh ได้

เซิร์ฟเวอร์ FTP บางตัวจะอนุญาตให้คุณเข้าถึง FTP ได้หากคุณมีเชลล์ที่ถูกต้อง /sbin/nologinถือได้ว่าเป็นเปลือกที่ถูกต้องในขณะที่/bin/falseไม่

(ฉันคิดว่า "ถูกต้อง" หมายถึงสถานะการออกเป็น 0 แต่/etc/shellsอาจเข้ามาก็ได้มันอาจขึ้นอยู่กับระบบซอฟต์แวร์ FTP และการกำหนดค่าของคุณ)

/bin/falseคือคำสั่งระบบที่ใช้ทุกเวลาที่คุณต้องการส่งคำสั่งไปยังโปรแกรมที่ไม่ควรทำอะไรมากไปกว่าการออกพร้อมข้อผิดพลาด /bin/trueมันเป็นสหายไป ทั้งสองนี้เป็นยูทิลิตี้ POSIX ที่เก่ามากและมาตรฐานและไม่สร้างเอาต์พุตใด ๆ ตามคำจำกัดความ จริงบางครั้งใช้สำหรับเชลล์สคริปต์ที่ควรวนซ้ำไม่ จำกัด เช่น:

while true; do
    ...
    # Waste time
    if [ $wasted_time -gt 100000 ]; then
        exit 0
    fi
    ...
done

/usr/sbin/nologinได้รับการออกแบบมาโดยเฉพาะเพื่อแทนที่เชลล์และสร้างเอาต์พุตบ่นคุณไม่สามารถเข้าสู่ระบบได้ ก่อนที่มันจะมีอยู่มันเป็นเรื่องธรรมดาที่จะใช้/bin/falseสำหรับผู้ใช้หลอกตา แต่อาจสับสนเพราะผู้ใช้ไม่รู้ว่าทำไมพวกเขาถึงถูกเตะ

บนเครื่องของฉันnologinจะแสดงข้อความเดียวกันเสมอในภาษาอังกฤษโดยไม่คำนึงถึงข้อโต้แย้ง /bin/falseตอบสนองต่อ--versionและในภาษาที่ระบุโดย--help $LC_CTYPEนอกเหนือจากความแตกต่างเครื่องสำอางเหล่านี้พวกเขามีผลเช่นเดียวกัน

การใช้งานnologinได้ดีจะดีกว่าถ้ามันใช้ในบัญชีของคนจริงที่พูดภาษาอังกฤษ ความปลอดภัยฉลาดไม่มีความแตกต่าง

/ bin / false งานเดียวคือออกด้วยรหัสออกที่ไม่เป็นศูนย์

ลองที่บรรทัดคำสั่ง:

$:> /bin/false
$:> echo $?
1
$:>

บางสถาบันใช้ / bin / false ในฟิลด์เชลล์ของไฟล์รหัสผ่าน หากผู้ใช้พยายามที่จะเข้าสู่ระบบเปลือกเป็น / bin / เท็จดังนั้นพวกเขาจะออกทันที

บนลินุกซ์/sbin/nologinมาจากutil ลินุกซ์โครงการในขณะที่/bin/falseเป็นส่วนหนึ่งของGNU coreutils พวกเขาให้บริการบทบาทที่แตกต่างกันและ nologin มีตัวเลือกในการพิมพ์ข้อความสำหรับคนที่มีมันเป็นเปลือกของพวกเขาที่กำลังเข้าสู่ระบบคำสั่ง linux มาจาก BSD ที่พวกเขาดูเหมือนจะมีประวัติอันยาวนานของการแตกต่างกัน FreeBSD falseจะส่งกลับ 1ในขณะที่การnologinตรวจสอบเพื่อให้แน่ใจว่ามันกำลังทำงานอยู่บน TTY และส่งข้อความไปยัง syslog ในระหว่างการพยายามเข้าสู่ระบบ รุ่นลินุกซ์นั้นซับซ้อนกว่าเล็กน้อย ( falseทำเรื่องสนุก ๆ ทุกประเภทด้วยความเป็นสากลสำหรับผลลัพธ์ของ - ช่วยฉันถือว่า) แต่โดยพื้นฐานแล้วทำแบบเดียวกัน

อาจเป็นโปรแกรมเดียวกัน แต่มีความหมายต่างกัน ชื่อโปรแกรมบอกทุกอย่าง

• / bin / false มีวัตถุประสงค์เพื่อส่งคืนค่าเท็จ มันทำงานเป็นโปรแกรม
• / bin / nologin มีวัตถุประสงค์เพื่อบ่งบอกผู้ใช้ว่าไม่อนุญาตให้เข้าสู่ระบบสำหรับบัญชี (มันใช้เชลล์ล็อกอิน)

ทั้งสองทำงานมากหรือน้อยเหมือนกัน แต่/bin/falseมีประโยชน์สำหรับผู้ใช้ที่ไม่มีสิทธิพิเศษ ในทางกลับกัน/sbin/nologinสำหรับผู้ใช้ที่ได้รับสิทธิพิเศษ