對不起,上午有點事沒來,帖子發晚了。
昨天看見少三頁在嘲笑我,我想聲明一下:並不是我懶沒有寫,而是我在想到底有多少
人能跟上呢?其實當初如果不是sherley老大讓我把重點寫出來,我根本不會寫這麼多
東西。當初是希望大家能仔仔細細的看完書後再到論壇上來討論交流的。而我預先想的
也只是把比較難懂的部分說一說。而即使是現在,我寫的東西也不是很全的,有一些提
到的命令(如第二章的shell下的參數等等)我都沒有提,因為我覺的書上寫的更清楚。
所以我更希望的是大家仔細看書後再來看我的文章,有問題提出來是最歡迎的。
第三章
1、pwconv只要記住這個文件是根據/etc/passwd文件的內容來修改/etc/shadow文件的
內容就可以了。
2、who命令對應/var/adm/utmpx文件,last命令對應/var/adm/wtmpx文件。同時知道
console指控制台,pts指虛設備就是不是實際的物理設備,一般都為遠程接入,term
是指從串口連接的設備。應該注意的是console控制台和terminator終端在系統中的區
別。在平時運行兩個程序是沒有區別的。但在系統發生一些錯誤等的時候(例如本章
中講到的sulog的信息寫屏)就是到console上,而不會到終端上。這樣在系統頻繁寫
屏的時候就應該打開終端操作。
3、finger命令(呵呵,比我歲數多大的命令吧??)可以知道兩個固定的顯示文件
----.plan和.projects注意書上說的它們的屬性必須是644
4、呵呵,配套命令id,whoami,who am i明白了uid和euid的區別就自然會了。簡單
的說就是:uid就是你login時候用的哪個帳戶的id,而euid則是你現在有效的uid。程
序在運行的時候一般看的都是euid,當然也有特出的,who am i就是一個。
5、明白了uid和euid的話,就來看看本章的難點:setuid setgid stickybit吧。
系統中有的命令,比如snoop,format等命令涉及到系統的安全,是只有root才可以
使用的。而另一些命令,如passwd等雖然也涉及到系統的安全,但用戶也要常使用,
這就造成了一種矛盾。而解決的辦法就是用setuid。它的作用是當普通的用戶使用
passwd命令的時候,系統將它的euid變為0,這樣用戶就可以使用這個命令對
/etc/passwd和/etc/shadow來進行操作了。
而setgid雖然形式上和setuid相近,但是在使用上卻是和sticky bit比較類似。一般
都是用在一個目錄上。用戶可以在此創建文件,但是文件的屬組不是文件所有人的屬
組,而是該目錄的屬組。
sticky bit也是用在目錄上的,但是在該目錄創建的文件卻只owner of file ,
owner of directory ,root才可以刪除。
說起來現在的sun ray系列絕對是這個思想的延伸。用戶只能通過終端在主機上操作,
寫的程序想帶走都沒有辦法,呵呵:)
6、ACL我不想寫了,書上寫的很明白了,可是你照做後雖然用getfacl看有讀寫的權限,
實際上還是沒有。而且不知道sun為什麼對這個白癡一樣的功能那麼感興趣,我考的時
候居然有兩道。真不明白。
照例是幾個問題
1、書上說loginlog可以記錄連續5次的錯誤登陸,你試成功了嗎?是在任何情況下都
可以嗎?
2、如何限制root登陸,即使是在本機也不例外?
3、/etc/default/passwd中的PASSLENGTH是對所有用戶都有效的嗎?所有用戶的口令
必須都遵循嗎?
昨天的答案:
1、當使用nfs的時候,遠程主機mount 本地的硬盤。理論上遠程主機的root用戶可以對
自己機器裡的任何文件系統進行操作。但當他訪問本機的共享硬盤的時候,系統能夠自
動將遠程主機的root用戶的euid改為nobody,從而保護了本地共享硬盤的內容。
2、在用newgrp的時候。A group password is used by the newgrp command.
This command is used to log a user into a new group. If that new group has a
password, and the user is not a member of that group, the password has to be
entered before newgrp will continue.
3、還有/etc/issue,/etc/default/te.netd,/etc/default/ftpd它們的作用都是一樣的,
可以在用戶登陸的時候顯示其中的banner=裡面的內容。(有的文件要自己創建)
4、如果用戶主目錄下存在這個文件,則不會有任何信息輸出到用戶的控制台上。
