11以r博狗娱乐网oot特权身份运行命令

Byadmin

11以r博狗娱乐网oot特权身份运行命令

  系统管理员的任务就是保持系统的最佳状态,为用户提供一个有用的、便利的工作环境。在Linux系统上,你可能同时兼任管理员和用户,你和计算机可能近在咫尺。或者系统管理员位于另一个半球,通过系统网络连接,而你只是数以千计的用户中的一员。系统管理员可以是一个兼职负责系统维护的人,他可能也是系统的用户。也可能由多人担任管理员,所有这些人都全职负责众多系统的运行和维护。

  Linux可以配置并且能够运行在多种不同的平台(Sun SPARC、DEC/CompaqAlpha、Intelx86、AMD、PowerPC以及更多平台),本章没有办法讨论每一种系统配置以及系统管理员需要采取的每一项措施。本章的目标是设法让你熟悉需要理解的概念以及在维护Ubuntu系统的时候要用到的工具。在本章中,如果某个主题未深入展开讨论,则会提供与之相关的参考文献。

  有些命令可能会损坏文件系统或者让操作系统瘫痪,还有一些命令可能会侵犯用户的隐私或者降低系统的安全性。为了让系统始终可用,同时能够安全地运行,Ubuntu被配置成不允许普通用户执行某些命令以及访问特定文件。为了让系统信任的用户执行这些命令以及访问这些文件,Linux提供了几种方法。系统信任的默认用户具有这些全系统的操作权限,他的用户名是root。具有root的这些特权的用户被称为超级用户(superuser)。正如本节所讲解的那样,Ubuntu能够让指定的普通用户以root特权身份运行命令,而该用户只需要以自己的身份登录即可。

  有些命令(比如用来添加新用户、硬盘分区以及修改系统配置的那些命令)只能由具有root特权身份的用户执行。这类用户可以使用某些工具(比如sudo)将特定权限授予指定用户;有了这些权限,被指定用户就能够执行那些通常预留给具有root特权身份的用户的任务。

  当你在计算机上进行操作的时候,特别是以系统管理员身份(以root特权身份运行)操作的时候,都要以尽可能小的特权来执行任何一项任务。如果仅以普通用户登录就能够执行任务,那就以普通用户登录和操作。如果必须以root特权身份运行某个命令,那么以普通用户身份执行尽可能多的任务,然后再使用sudo取得root特权,完成必须以root特权身份才能执行的那部分任务,之后尽可能快地恢复为普通用户。因为人们在忙碌中更容易犯错,所以最好是在没来得及出错之前,就尽可能地堵住一切可能出错的途径。

  如果系统启动之后进入恢复模式(参见1.3.3节),你就是以root用户登录系统。

  有些程序在启动的时候会向你询问你的用户口令。如果设置sudo让你具有root特权,那么当你提供自己的口令之后,这个程序就能够以root特权身份运行。如果某个程序在启动的时候需要口令,那么在退出该程序之后,就不再以特权用户身份运行。当你不再需要或者不希望以root特权身份进行操作的时候,这样的设置能够让你不再以特权身份登录。

  任何用户都能够创建setuid(setuserID,设置用户标识)文件。setuid程序能够以该文件所有者的身份运行,并且具有该所有者的所有访问特权。当以超级用户身份运行时,你可以将所有者为root的文件的权限修改为setuid。如果一个普通用户执行一个所有者为root的文件,并且该文件设置了setuid权限,那么这个程序具有root的全部特权。换句话说,这个程序能够做到root可以做的任何事情以及由这个程序去做或者允许用户去做的事情。用户的特权不会改变。当这个程序运行完毕,所有的用户特权都将恢复到程序开始执行之前的状态。所有者为root的setuid程序的功能非常强大,但是它对系统安全也是极大的威胁,这也是系统中这样的程序只有很少几个的原因。所有者为root的setuid程序的示例包括passwd、at和crontab。更多信息请参见《基础篇》6.6.3节。博狗德州扑克官网

  因为所有者为root的setuid程序允许不知道root口令的人拥有超级用户权限,所以对于恶意用户而言它们是诱人的攻击目标。系统中这样的程序应该尽可能少。在挂载文件系统的时候,如果带上nosuid选项(参见2.3.1节)的话,就可以在文件系统级别上禁用setuid程序。要想使用命令列出本机系统中所有的setuid文件,请参见1.4节。

  下面这两种获取root特权的方法依赖于1.1.3节讲解的root特权账号的解锁(设置root口令)。

  有几种技术可以用来限制普通用户切换到超级用户身份的途径。举例来说,PAM(参见1.9节)控制着登录用户、登录时间和登录方式。通过/etc/securetty文件可以控制用户从哪些终端(tty)登录才能具有root身份。f文件为登录控制添加了另一种控制尺度(详细信息请参考该文件中的注释)。

  禁止root通过网络使用login,博狗开户网址这是Ubuntu的默认策略,它由PAM的securetty模块实现。/etc/security/access.conf文件必须包含所有用户名和终端/工作站的名称,只有这些用户在这些指定的终端/工作站上才能够以root身份登录。初始情况下,access.conf文件中的所有行都被注释掉了。

About the author

admin administrator

Leave a Reply