日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
Unix系統(tǒng)安全中作為root運(yùn)行的程式

Unix系統(tǒng)中,有些程序由系統(tǒng)作為root進(jìn)程運(yùn)行.這些程序并不總是具有suid許可,因?yàn)槠洳簧俪绦騼H由root運(yùn)行,系統(tǒng)管理員需要清楚這些程序做什么,以及這些程序還將運(yùn)行其它什么程序.

創(chuàng)新互聯(lián)-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比山西網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式山西網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們,業(yè)務(wù)覆蓋山西地區(qū)。費(fèi)用合理售后完善,10年實(shí)體公司更值得信賴。

(1)啟動(dòng)系統(tǒng)

當(dāng)某些unix系統(tǒng)(如sco unix/xenix)啟動(dòng)時(shí),是以被稱為單用戶的方式運(yùn)行,在這種方式中普通用戶不能登錄,唯有的進(jìn)程是init,swapper,以及一些由系統(tǒng)管理員從控制臺(tái)運(yùn)行的進(jìn)程.unix系統(tǒng)的單用戶方式啟動(dòng),使系統(tǒng)管理員能在允許普通用戶登錄以前,先檢查系統(tǒng)操作,確保系統(tǒng)一切正常,當(dāng)系統(tǒng)處于單用戶方式時(shí),控制臺(tái)作為超級(jí)用戶,命令揭示是"#",有些unix系統(tǒng)不要確認(rèn)超級(jí)用戶口令就認(rèn)可控制臺(tái)是root,給出#提示符.這就可能成為一個(gè)安全問題.

(2)init進(jìn)程

unix系統(tǒng)總是以某種方式或稱為某種級(jí)運(yùn)行,系統(tǒng)有若干種運(yùn)行級(jí),這些運(yùn)行級(jí)由init進(jìn)程控制.unix系統(tǒng)啟動(dòng)時(shí)以單用戶方式運(yùn)行,也叫1級(jí)或s級(jí).對(duì)于其他用戶登錄進(jìn)入系統(tǒng),unix有一種多用戶運(yùn)行方式,也叫2級(jí)init進(jìn)程控制系統(tǒng)運(yùn)行級(jí),它讀入文件/etc/inittab,該文件詳細(xì)地規(guī)定了哪些進(jìn)程在哪一級(jí)運(yùn)行.當(dāng)root敲入init n(數(shù)字),系統(tǒng)就進(jìn)入n級(jí).init讀該文件以確定終止哪些進(jìn)程,啟動(dòng)哪些進(jìn)程.

有效的運(yùn)行級(jí)的數(shù)值是從0到6與s.

注意:由init建立的進(jìn)程以u(píng)id為0運(yùn)行(root)從/etc/inittab運(yùn)行的程序也作為root運(yùn)行,所以系統(tǒng)管理員要確保自己知道/etc/inittab中的程序做什么工作,確保這些程序以及這些程序所在的目錄直到/和/etc/inittab除root外無人可寫.

(3)進(jìn)入多用戶

當(dāng)unix系統(tǒng)進(jìn)入多用戶方式時(shí),將寢化一系列事件,接著開始執(zhí)行g(shù)ettys,允許其他用戶登錄進(jìn)入系統(tǒng).如果再看看/etc/inittab文件,會(huì)看到gettys定義在運(yùn)行級(jí)2,至少三個(gè)shell程/etc/brc,/etc/bcheckrc,/etc/rc*也定義在運(yùn)行級(jí)2.這些程序都在gettys啟動(dòng)前運(yùn)行.這些shell程序作為root運(yùn)行,也不能僅對(duì)root可寫還應(yīng)當(dāng)檢查shell程序運(yùn)行的命令,因?yàn)檫@些命令也將作為root運(yùn)行.

(4)shutdown命令

用shutdown命令關(guān)系統(tǒng),shutdown shell程序發(fā)送警告通知所有用戶離開系統(tǒng),在"給定的期限時(shí)間"到了后,就終止進(jìn)程,拆卸文件系統(tǒng),進(jìn)入單用戶方式或關(guān)機(jī)狀態(tài).一旦進(jìn)入單用戶方式,所有的gettys停止運(yùn)行,用戶再不能登錄.

進(jìn)入關(guān)機(jī)狀態(tài)后可將系統(tǒng)關(guān)電.

shutdown僅能由作為root登錄的用戶從系統(tǒng)控制臺(tái)上運(yùn)行.所以任何的shutdown運(yùn)行的命令僅能對(duì)root可寫.

(5)系統(tǒng)v的cron程序

cron在unix系統(tǒng)是多用戶方式時(shí)運(yùn)行,根據(jù)規(guī)定的時(shí)間安排執(zhí)行指定的命令,每隔一分鐘檢查一次文件/usr/lib/crontab,尋找是否有應(yīng)當(dāng)運(yùn)行的程序?

如果找到要運(yùn)行的程序,就運(yùn)行該程序,否則睡眠等待一分鐘.實(shí)際的/usr/lib/crontab用于根據(jù)全天的規(guī)則時(shí)間表運(yùn)行程序,也可在夜晚運(yùn)行白天不愿運(yùn)行怕降低其他用戶速度的程序.通常由cron運(yùn)行的程序是如記帳,存文件這樣的程序.cron一般在系統(tǒng)進(jìn)入多用戶后由/etc/rc啟動(dòng),當(dāng)shutdown運(yùn)行killall命令時(shí)便終止運(yùn)行.由cron運(yùn)行的程序作為root,所以應(yīng)當(dāng)注意放什么程序在crontab中,還要確保/usr/lib/crontab和該表中列出的任何程序?qū)θ魏稳瞬豢蓪?

如果用戶需要由cron執(zhí)行一個(gè)程序,系統(tǒng)管理員可用su命令在crontab表中建立一個(gè)入口,使用戶的程序不能獲得root的權(quán)限.

(6)系統(tǒng)v版本2之后的cron程序

在系統(tǒng)v版本2中,cron被修改成允許用戶建立自己的crontab入口,/usr/lib/crontab文件不再存在,由目錄/usr/spool/cron/crontabs中的文件代替.這些文件的格式與crontab相同,但每個(gè)文件與系統(tǒng)中的一個(gè)用戶對(duì)應(yīng),并以某用戶的名義由cron運(yùn)行.

如果想限制能建立crontab的用戶,可在文件/usr/lib/cron/cron.allow文件中列出允許運(yùn)行crontab命令的用戶.任何未列于該文件的用戶不能運(yùn)行crontab.反之,若更愿意列出不允許運(yùn)行crontab命令的用戶,則可將他們列入/usr/lib/cron/cron.deny文件中,未列于該文件的其他用戶將被允許建立crontab.

注意:若兩個(gè)文件都存在,系統(tǒng)將使用cron.allow,忽略cron.deny.如果兩個(gè)文件都不存在,則只有root可運(yùn)行crontab.所以,若要允許系統(tǒng)中的所有用戶都可運(yùn)行crontab命令,應(yīng)當(dāng)建立一個(gè)空的cron.deny文件,如果cron.allow也存在,則刪除該文件.

這個(gè)版本的cron命令的安全程度比前一個(gè)高,因?yàn)橛脩糁荒芸醋约旱腸rontab,系統(tǒng)管理員也不必?fù)?dān)心其他用戶的程序是否會(huì)作為root運(yùn)行,由于允許每個(gè)系統(tǒng)登錄用戶有自己的crontab,也簡(jiǎn)化了對(duì)程序必須由cron運(yùn)行,但不必作為root運(yùn)行的系統(tǒng)程序的處理.

必須確保root的crontab文件僅對(duì)root可寫,并且該文件所在的目錄及所有的父目錄也僅對(duì)root可寫.

(7)/etc/profile

每當(dāng)用戶(包括root在內(nèi))登錄時(shí),由shell執(zhí)行/etc/profile文件,應(yīng)確保這個(gè)文件以及從這個(gè)文件運(yùn)行的程序和命令都僅對(duì)root可寫. 5./etc/passwd文件/etc/passwd文件是unix安全的關(guān)鍵文件之一.該文件用于用戶登錄時(shí)校驗(yàn)用戶的口令,當(dāng)然應(yīng)當(dāng)僅對(duì)root可寫.文件中每行的一般格式為:logname:password:uid:gid:userinfo:home:shell

每行的頭兩項(xiàng)是登錄名和加密后的口令,后面的兩個(gè)數(shù)是uid和gid,接著的一項(xiàng)是系統(tǒng)管理員想寫入的有關(guān)該用戶的任何信息,***兩項(xiàng)是兩個(gè)路徑名:一個(gè)是分配給用戶的home目錄,第二個(gè)是用戶登錄后將執(zhí)行的shell(若為空格則缺省為/bin/sh).

責(zé)任編輯:佚名
來源: 論壇整理 Unix系統(tǒng) root


標(biāo)題名稱:Unix系統(tǒng)安全中作為root運(yùn)行的程式
轉(zhuǎn)載源于:http://www.5511xx.com/article/ccioids.html