Was ist der Unterschied zwischen / sbin / nologin und / bin / false?

Technisch gesehen kann, sofern nicht so konfiguriert pamist , dass Ihre Shell mit pam_shellskeiner dieser Optionen überprüft wird , die Anmeldung verhindert werden, wenn Sie nicht in der Shell sind. Auf meinem System sind sie sogar unterschiedlich groß, daher vermute ich, dass sie tatsächlich etwas tun. Was ist der Unterschied? Warum existieren beide? Warum sollte ich eins übereinander verwenden?

-rwxr-xr-x 1 root root  21K Feb  4 17:01 /bin/false
-rwxr-xr-x 1 root root 4.7K Mar  2 14:59 /sbin/nologin

Wenn /sbin/nologinals Shell festgelegt ist, erhalten Benutzer, die sich mit dieser Shell anmelden, die höfliche Nachricht "Dieses Konto ist derzeit nicht verfügbar". Diese Nachricht kann mit der Datei geändert werden /etc/nologin.txt.

/bin/falseist nur eine Binärdatei, die sofort beendet wird und beim Aufruf false zurückgibt. Wenn sich also jemand mit einer falseShell anmeldet, wird er beim falseBeenden sofort abgemeldet . Das Festlegen der Shell /bin/truehat den gleichen Effekt, dass niemand sich anmelden kann, falsewird jedoch wahrscheinlich als Konvention verwendet, trueda es viel besser ist, das Konzept zu vermitteln, dass eine Person keine Shell hat.

In der nologinManpage heißt es, dass es in 4.4 BSD (Anfang der 1990er Jahre) erstellt wurde, also kam es lange nachdem falsees erstellt wurde. Die Verwendung falseals Shell ist wahrscheinlich nur eine Konvention, die aus den Anfängen von UNIX übernommen wurde.

nologinist die benutzerfreundlichere Option, bei der dem Benutzer eine anpassbare Meldung angezeigt wird, die versucht, sich anzumelden, sodass Sie diese Option theoretisch verwenden möchten. aber beide nologinund falsewerden das gleiche Ergebnis haben, wenn jemand keine Shell hat und nicht in der Lage ist, sich einzuschalten.

Bei einigen FTP-Servern können Sie nur dann auf FTP zugreifen, wenn Sie über eine gültige Shell verfügen. /sbin/nologinwird als gültige Shell angesehen, /bin/falseist es aber nicht.

(Ich denke, "gültig" bedeutet, dass der Beendigungsstatus 0 ist, er /etc/shellskann aber auch eingegeben werden. Dies hängt wahrscheinlich vom System, der FTP-Software und Ihrer Konfiguration ab.)

/bin/falseist ein Systembefehl, der immer dann verwendet wird, wenn Sie einen Befehl an ein Programm übergeben müssen, das nichts weiter tun soll, als mit einem Fehler zu beenden. Es ist der Begleiter zu /bin/true. Beide sind sehr alte und standardmäßige POSIX-Dienstprogramme und erzeugen per Definition keine Ausgabe. true wird manchmal für ein Shell-Skript verwendet, das eine Endlosschleife ausführen soll, z.

while true; do
    ...
    # Waste time
    if [ $wasted_time -gt 100000 ]; then
        exit 0
    fi
    ...
done

/usr/sbin/nologinwurde speziell entwickelt, um eine Shell zu ersetzen und erzeugt eine Ausgabe, bei der Sie sich nicht anmelden können. Früher war die Verwendung /bin/falsefür Dummy-Benutzer üblich, kann jedoch verwirrend sein, da der Benutzer nicht weiß, warum sie gestartet wurden.

Auf meinem Computer wird nologinimmer dieselbe Meldung in Englisch angezeigt, wobei die Argumente ignoriert werden. /bin/falseantwortet auf --versionund --helpin der von angegebenen Sprache $LC_CTYPE. Abgesehen von diesen kosmetischen Unterschieden haben sie den gleichen Effekt.

In puncto nologinBenutzerfreundlichkeit ist es besser, wenn es für eine reale Person verwendet wird, die Englisch spricht. In Bezug auf die Sicherheit gibt es keinen Unterschied.

/ bin / false Nur Job ist das Beenden mit einem Exit-Code ungleich Null.

Probieren Sie es an der Kommandozeile aus:

$:> /bin/false
$:> echo $?
1
$:>

Einige Institutionen verwenden / bin / false im Shell-Feld der Passwortdatei. Wenn der Benutzer versucht, sich anzumelden, lautet die Shell / bin / false und wird sofort beendet

Unter Linux /sbin/nologinstammt es aus dem Projekt util-linux , während /bin/falsees Teil von GNU Coreutils ist . Sie haben unterschiedliche Rollen, und nologin hat die Möglichkeit, eine Nachricht für Benutzer auszudrucken, die sich als Shell anmelden. Die Linux-Befehle stammen von BSD, wo sie eine lange Geschichte des Andersseins zu haben scheinen. Das FreeBSD gibt falseeinfach 1 zurück , während es nologinprüft, ob es auf einem TTY läuft, und bei Anmeldeversuchen eine Nachricht an syslog sendet. Die Linux-Versionen sind etwas komplizierter ( falseich nehme an, sie erledigen alle möglichen unterhaltsamen Dinge mit Internationalisierung für die Ausgabe von --help), verhalten sich aber im Wesentlichen genauso.

Sie könnten dasselbe Programm sein, aber sie haben unterschiedliche Bedeutungen. Der Programmname sagt alles.

• / bin / false soll einen falschen Wert zurückgeben. Es wird als Programm ausgeführt.
• / bin / nologin soll dem Benutzer anzeigen, dass für ein Konto keine Anmeldung zulässig ist. (Es wird eine Login-Shell verwendet.)

Beide erledigen mehr oder weniger den gleichen Job, sind jedoch /bin/falsefür nicht privilegierte Benutzer nützlich. Auf der anderen Seite /sbin/nologinist für privilegierte Benutzer.