Unix的日志文件系统(一)
Blackeyes 1999.7.27
限制用户
(1)加限制的shell(rsh)
该shell几乎与普通的shell相同,但是该shell的设计能限制一个用户的 能力
,不允许用户有某些标准
shell所允许的行为:
不能改变工作目录(cd).
不能改变PATH或SHELL shell变量.
不能使用含有"/"的命令名.
不能重定向输出(>和>>).
不能用exec执行程序.
用户在登录时,招待.profile文件后系统就强加上了这些限制,如果用户 在.
profile文件正被解释时按
了BREAK键或DELETE键,该用户将被注销.
这些简单的限制,使用写受限制用户的.profile文件的系统管理员可以对 用
户能使用什么命令,进行完
全的控制.
应当注意:系统V加限制的shell实际上不是很安全,在敌对的用户时不要 用.
系统V版本2以后的版本中
加限制的shell更安全些.但若允许受限制的用户 使用某些命令(如env,cp,ln),用
户将能逃避加限制的shell,
进入非限制的 shell.
(2)用chroot()限制用户
如果的确想限制一个用户,可用chroot()子程序为用户建立一个完全隔离 的
环境,改变了进程对根目录
的概念,因此可用于将一个用户封在整个文件系 统的某一层目录结构中,使用户无
法用cd命令转出该层目录
结构,不能存取文 件系统中其余部分的任何文件.这种限制方式比加限制的shell
好得多.用户使 用的命令应
由系统管理员在新的root目录中建立一个bin目录,并建立用户可 用命令的链到系
统的/bin目录中相应命令
文件上(若在不同的文件系统则应拷 贝命令文件).
还应建立新的passwd文件,保留系统登录户头(为了使ls -l正确地报告与 受
限制的子文件系统中的文件
相关的正确登录名)和用户帐户,但系统帐户的 口令改为NOLOGIN以使受限制的用
户不能取得系统登录的真实
口令,使"破密" 程序的任何企图成为泡影.
utmp文件是who所需要的,该文件含有系统中已登录用户的列表. 新的/etc/p
rofile文件也不是建链文件,
以便受限制的用户可以执行不同 的启动命令.
/dev目录中的终端设备文件被链接到新的/dev目录下,因为命令who产生 输出
时要查看这些文件.
在系统V及以后的UNIX版本中,login命令有chroot()的功能.如果口令文 件中
用户入口项的登录shell域
(最后一个域)是*,login将调用chroot()把用 户的根目录设置成为口令文件中用
户入口项登录目录域指定的
目录.然后再调 用exec()执行login,新的login将在新子系统文件中执行该用户的
登录.
chroot()并不是把root封锁在一个子文件系统中,所以给受限制用户用的 命
令时应加以考虑,具有root的
SUID许可的程序可能会给予用户root的能力. 应当将这种可能减低到最小程度,交
给用户使用的命令应当取自
清除了SUID陷 井的系统命令.链接文件可减少磁盘占用区,但要记住,当与敌对用
户打交道时 链接到chroot目
录结构(尤其是命令)的系统文件是很危险的.
如果建立一个像这样的限制环境,应确保对安装到新的/bin的每条命令都 做
过测试,有些程序可能有系统
管理员未曾想到的出乎意料的执行结果.为了 使这些命令能运行,还得在加限制的
子文件系统中加服务目录或
文件如:/tmp, /etc/termcap,/usr/lib/terminfo,/dev/mem,/dev/kmem,/dev/sw
ap,用户所 登录的/dev中
的tty文件以及/unix.
有些程序在子文件系统中运行时不会很好,如果将假脱机程序和网络命令 拷贝
到加限制的子文件系统中,并
放在为两条命令专建的目录层结构下,它们 可能也运行不了.
本文由isbase成员编译或原创,如要转载请保持文章的完整性
欢迎访问我们的站点http://www.isbase.com
绿色兵团给你安全的保证
--
我是[回合策略]版副,[宗教信仰]斑竹,欢迎大家常来坐坐。
欢迎光临魔法师学院http://wwwmagic.126.com或shizhao.topcool.net
* * * * *
无挂碍故无有恐怖
※ 来源:.网易虚拟社区北京站 http://bj.netease.com.[FROM: 202.106.245.213]
|
|