Linux 版 (精华区)

发信人: clx (楚留香), 信区: Unix
标  题: PPP HOWTO 中译版(12)
发信站: 紫 丁 香 (Sat Jun 27 17:00:26 1998), 转信

PPP HOWTO 中译版 : 使用 PPP 与 root 权限
Previous: 建立名称到位址解析(DNS)
Next: 设定 PPP 连接档案 


11. 使用 PPP 与 root 权限

因为 PPP 需要设定网路设备，变更核心递送表格以及诸如此类的动
作，所以它需要以 root 的权限来做这些事．

如果 root 以外的使用者要能建立 PPP 连线，那麽 pppd 程式应该
设为以 root 的身分执行(setuid):- 

     -rwsr-xr-x   1 root     root        95225 Jul 11 00:27 /usr/sbin/pppd

如果 /usr/sbin/ppd 不是设定为这样，那麽以 root 的身分下这个指
令:

     chmod u+s /usr/sbin/pppd

这样是让 pppd 以 root 的权限执行，即使是由一般使用者所执行
的． 这能让一般使用者执行的 pppd 具有必要的权限建立网路界面
及核心递送表格．

以 root 的身分执行的程式在安全上是潜在的漏洞，所以你对於设
定为 'setuid' 的程式必须非常地小心． 许多地程式(包括 pppd)
已经被小心地撰写以将用 root 的身分执行的危险降到最低，所以
这样做应该是安全地(不过不保证)．

根据你希望你的系统如何运作而定，特别是如果你希望你系统里的
任何使用者都能启始 PPP 连结，你应该把你的 ppp-on/off 指令稿
设定为全部的人都可以读取／执行．（如果你的 PC 只由你使用那
麽这样大概不错）．

然而，如果你不希望任何人都能起始 PPP 连线（例如，你的孩子在
你的 Linux PC 上有帐号而你不希望他们在没有你的监督下连上网
际网路），你将得建立一个 PPP 群组（编辑 /etc/group 档案）并
且: 

     将 pppd 设定为以 root 的权限执行，拥有者是 root 而群组
     是 PPP，而其它的权限都关闭．它看起来应该像这样 

          -rwsr-x---   1 root     PPP        95225 Jul 11 00:27 /usr/sbin/pppd

     使 ppp-on/off 指令稿由使用者 root 以及群组 PPP 所拥有 
     使 ppp-of/off 指令稿能由群组 PPP 读取／执行 

            -rwxr-x---   1 root     PPP           587 Mar 14  1995 /usr/sbin/ppp-on
            -rwxr-x---   1 root     PPP           631 Mar 14  1995 /usr/sbin/ppp-off

     关闭其它的存取权限 
     把能够起动 PPP 的使用者加入 /etc/group 档案的 PPP 群组
     里 

即使如此，一般使用者仍然无法以软体的方式中止连结． 执行 
ppp-off 指令稿需要 root 的权限．然何，任何使用者都可以关掉数
据机(或将电话线由内接式数据机拔下)．

另外一种(更好的)办法，允许使用者使用 sudo 来起动 ppp 连结．
这样可以提供更佳的安全性并且可以让你设定让任何(可信任的)使
用者使用指令稿来启动/结束连结． 使用 sudo 可以让一位可信任的
使用者乾净而安全地启动/结束 PPP 连结．


PPP HOWTO 中译版 : 使用 PPP 与 root 权限
Previous: 建立名称到位址解析(DNS)
Next: 设定 PPP 连接档案 

--
※ 来源:．紫 丁 香 bbs.hit.edu.cn．[FROM: 202.118.244.16]