Bug 59646

Summary: Shell служебного пользователя /bin/bash
Product: Sisyphus Reporter: Mikhail Efremov <sem>
Component: pcsc-liteAssignee: Andrey Cherepanov <cas>
Status: RESOLVED FIXED QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: amakeenk, antohami, cas, gluhovid, shaba
Version: unstable   
Hardware: all   
OS: Linux   

Description Mikhail Efremov 2026-06-26 10:08:32 MSK
getent passwd pcscd >/dev/null || /usr/sbin/useradd -r \
  -g pcscd -d %_sharedstatedir/%name -s /bin/bash -c "PCSC Lite" pcscd

Зачем этому пользователю shell /bin/bash? Для таких пользователей обычно указывается /sbin/nologin, /bin/false или /dev/null чтобы невозможен был логин в интерактивный сеанс.
Кроме того, это ломает скрипт https://git.altlinux.org/gears/i/installer.git?p=installer.git;a=blob;f=installer/desktop/zdg-user-dirs-install.sh;h=060e3269dac5e356ea66968a385888f4ab851d93;hb=a4019375d420684c57ab3a610a46dca60e3ccc92 
Он пытается найти не служебного пользователя как раз по наличию shell и обнаруживает, что это pcscd.
Comment 1 Антон Мидюков 2026-06-26 10:21:07 MSK
(Ответ для Mikhail Efremov на комментарий #0)
> getent passwd pcscd >/dev/null || /usr/sbin/useradd -r \
>   -g pcscd -d %_sharedstatedir/%name -s /bin/bash -c "PCSC Lite" pcscd
> 
> Зачем этому пользователю shell /bin/bash? Для таких пользователей обычно
> указывается /sbin/nologin, /bin/false или /dev/null чтобы невозможен был
> логин в интерактивный сеанс.
> Кроме того, это ломает скрипт
> https://git.altlinux.org/gears/i/installer.git?p=installer.git;a=blob;
> f=installer/desktop/zdg-user-dirs-install.sh;
> h=060e3269dac5e356ea66968a385888f4ab851d93;
> hb=a4019375d420684c57ab3a610a46dca60e3ccc92 
> Он пытается найти не служебного пользователя как раз по наличию shell и
> обнаруживает, что это pcscd.

Скрипт, наверное, также стоит улучшить проверкой >= UID_MIN из /etc/login.defs.
Comment 2 Mikhail Efremov 2026-06-26 10:40:24 MSK
(Ответ для Антон Мидюков на комментарий #1)
> Скрипт, наверное, также стоит улучшить проверкой >= UID_MIN из
> /etc/login.defs.

Он не сможет прочитать /etc/login.defs, у нас на чтение только у root.
Я думал что-то сделать со скриптом, но вообще проверка по наличию shell вполне разумна и может использоваться не только в этом скрипте. В общем, я думаю скрипт лучше не трогать, надо исправить ошибку в пакете. Интерактивный шелл у системного пользователя это вообще security проблема.
Comment 3 Антон Мидюков 2026-06-28 09:12:08 MSK
Андрей Черепанов, зачем /bin/bash пользователю pcscd:
https://git.altlinux.org/gears/p/pcsc-lite.git?p=pcsc-lite.git;a=commitdiff;h=87186309f7d6f9edbd63eedf0f6d442cf2fb5404
?
Comment 4 Repository Robot 2026-06-29 13:32:49 MSK
pcsc-lite-2.5.1-alt2 -> sisyphus:

Mon Jun 29 2026 Andrey Cherepanov <cas@altlinux> 2.5.1-alt2
- Set /sbin/nologin to user pcscd (ALT #59646).
Comment 5 Глухов Илья Денисович 2026-07-07 17:40:10 MSK
Ошибка не исправлена, у пользователя pcscd все еще shell /bin/bash:

$ grep pcscd /etc/passwd
pcscd:x:967:937:PCSC Lite:/var/lib/pcsc-lite:/bin/bash
Comment 6 Alexander Makeenkov 2026-07-07 17:46:22 MSK
(Ответ для Глухов Илья Денисович на комментарий #5)
> Ошибка не исправлена, у пользователя pcscd все еще shell /bin/bash:
> 
> $ grep pcscd /etc/passwd
> pcscd:x:967:937:PCSC Lite:/var/lib/pcsc-lite:/bin/bash

Если пользователь уже был до обновления, то это и не изменится.