使用者及使用者群組概念
以下是小弟讀《UNIX與INTERNET安全防護-系統篇》由台灣歐萊禮出版之筆記。
UNIX(clone) system 大部分有兩種形式的存取控制分別是:
第一種所謂的強制性存取控制(Mandatory Access Controls,MAC)它以資料標籤為基礎。
第二種為隨意存取控制(Discretionary Access Controls,DAC)。
多個帳號使用相同的UID(使用者識別碼)情況:
- 登入UUCP系統,這種方法可以讓你追蹤各個不同站台的登入活動,且仍允許他們存共享的檔案。
- 希望不同使用者都可存取root權限以追蹤使用者情形,可以在不影響其他使用者的情況下,關閉其中一個帳戶的存取權限。
wheel群組是表示所有系統管理者所屬的群組,而UNIX是以GID(群組識別碼)來進行權限設定。例如當你需要blogger群組的權限可以利用
$newgrp blogger
切換群組來暫時獲得該群組所有權限。
一台機器上同時有好幾位使用者帳號,我們應該適當的給與其管理權限以及限制su的轉換,否則當使用者有了root密碼它可以隨時利用su來轉換成root。而某些su版本允許wheel或uid為0的成員,利用自己的密碼成為超級使用者,只要把某位使用者給移出此群組就可以取消他們的存取權限。
這是一個列出使用者嘗試su轉換身份而失敗的log
$grep BAD /var/adm/messages
這是一個正常的su嘗試
$grep + /var/adm/sulog
BSD版本的sulog
$grep su: /var/adm/messages
另外,每位使用者都各有一個主要群組。
相關的命令包含:sulog、groups、id、gksu、su等等。
相關的檔案位置:/etc下的login.defs、passwd、group、adduser.conf、etc/pam.d
0 意見:
張貼留言