Linux 版 (精华区)
发信人: clx (楚留香), 信区: Unix
标 题: PPP HOWTO 中译版(12)
发信站: 紫 丁 香 (Sat Jun 27 17:00:26 1998), 转信
PPP HOWTO 中译版 : 使用 PPP 与 root 权限
Previous: 建立名称到位址解析(DNS)
Next: 设定 PPP 连接档案
11. 使用 PPP 与 root 权限
因为 PPP 需要设定网路设备,变更核心递送表格以及诸如此类的动
作,所以它需要以 root 的权限来做这些事.
如果 root 以外的使用者要能建立 PPP 连线,那麽 pppd 程式应该
设为以 root 的身分执行(setuid):-
-rwsr-xr-x 1 root root 95225 Jul 11 00:27 /usr/sbin/pppd
如果 /usr/sbin/ppd 不是设定为这样,那麽以 root 的身分下这个指
令:
chmod u+s /usr/sbin/pppd
这样是让 pppd 以 root 的权限执行,即使是由一般使用者所执行
的. 这能让一般使用者执行的 pppd 具有必要的权限建立网路界面
及核心递送表格.
以 root 的身分执行的程式在安全上是潜在的漏洞,所以你对於设
定为 'setuid' 的程式必须非常地小心. 许多地程式(包括 pppd)
已经被小心地撰写以将用 root 的身分执行的危险降到最低,所以
这样做应该是安全地(不过不保证).
根据你希望你的系统如何运作而定,特别是如果你希望你系统里的
任何使用者都能启始 PPP 连结,你应该把你的 ppp-on/off 指令稿
设定为全部的人都可以读取/执行.(如果你的 PC 只由你使用那
麽这样大概不错).
然而,如果你不希望任何人都能起始 PPP 连线(例如,你的孩子在
你的 Linux PC 上有帐号而你不希望他们在没有你的监督下连上网
际网路),你将得建立一个 PPP 群组(编辑 /etc/group 档案)并
且:
将 pppd 设定为以 root 的权限执行,拥有者是 root 而群组
是 PPP,而其它的权限都关闭.它看起来应该像这样
-rwsr-x--- 1 root PPP 95225 Jul 11 00:27 /usr/sbin/pppd
使 ppp-on/off 指令稿由使用者 root 以及群组 PPP 所拥有
使 ppp-of/off 指令稿能由群组 PPP 读取/执行
-rwxr-x--- 1 root PPP 587 Mar 14 1995 /usr/sbin/ppp-on
-rwxr-x--- 1 root PPP 631 Mar 14 1995 /usr/sbin/ppp-off
关闭其它的存取权限
把能够起动 PPP 的使用者加入 /etc/group 档案的 PPP 群组
里
即使如此,一般使用者仍然无法以软体的方式中止连结. 执行
ppp-off 指令稿需要 root 的权限.然何,任何使用者都可以关掉数
据机(或将电话线由内接式数据机拔下).
另外一种(更好的)办法,允许使用者使用 sudo 来起动 ppp 连结.
这样可以提供更佳的安全性并且可以让你设定让任何(可信任的)使
用者使用指令稿来启动/结束连结. 使用 sudo 可以让一位可信任的
使用者乾净而安全地启动/结束 PPP 连结.
PPP HOWTO 中译版 : 使用 PPP 与 root 权限
Previous: 建立名称到位址解析(DNS)
Next: 设定 PPP 连接档案
--
※ 来源:.紫 丁 香 bbs.hit.edu.cn.[FROM: 202.118.244.16]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:3.339毫秒