发信人: netman.bbs@cs3.xmu.edu.cn (邂逅), 信区: cnhacker
标  题: 管理员安全(8)
发信站: cs3 BBS (Mon Jun 16 13:14:40 1997)
转信站: Lilac!ustcnews!ustcnews!sjtunews!cs3
出  处: cs3.xmu.edu.cn

 (4)shutdown命令
      用shutdown命令关系统,shutdown shell程序发送警告通知所有用户离开
  系统,在"给定的期限时间"到了后,就终止进程,拆卸文件系统,进入单用户方
  式或关机状态.一旦进入单用户方式,所有的gettys停止运行,用户再不能登录.
  进入关机状态后可将系统关电.
      shutdown仅能由作为root登录的用户从系统控制台上运行.所以任何的
  shutdown运行的命令仅能对root可写.

  (5)系统V的cron程序
      cron在UNIX系统是多用户方式时运行,根据规定的时间安排执行指定的命
  令,每隔一分钟检查一次文件/usr/lib/crontab,寻找是否有应当运行的程序?
  如果找到要运行的程序,就运行该程序,否则睡眠等待一分钟.
      实际的/usr/lib/crontab用于根据全天的规则时间表运行程序,也可在夜
  晚运行白天不愿运行怕降低其他用户速度的程序.通常由cron运行的程序是如
  记帐,存文件这样的程序.cron一般在系统进入多用户后由/etc/rc启动,当
  shutdown运行killall命令时便终止运行.由cron运行的程序作为root,所以应
  当注意放什么程序在crontab中,还要确保/usr/lib/crontab和该表中列出的
  任何程序对任何人不可写.
      如果用户需要由cron执行一个程序,系统管理员可用su命令在crontab表
  中建立一个入口,使用户的程序不能获得root的权限.

  (6)系统V版本2之后的cron程序
      在系统V版本2中,cron被修改成允许用户建立自己的crontab入口,
  /usr/lib/crontab文件不再存在,由目录/usr/spool/cron/crontabs中的文件
  代替.这些文件的格式与crontab相同,但每个文件与系统中的一个用户对应,
  并以某用户的名义由cron运行.
      如果想限制能建立crontab的用户,可在文件/usr/lib/cron/cron.allow
  文件中列出允许运行crontab命令的用户.任何未列于该文件的用户不能运行
  crontab.反之,若更愿意列出不允许运行crontab命令的用户,则可将他们列入
  /usr/lib/cron/cron.deny文件中,未列于该文件的其他用户将被允许建立
  crontab.
      注意:若两个文件都存在,系统将使用cron.allow,忽略cron.deny.如果两
  个文件都不存在,则只有root可运行crontab.所以,若要允许系统中的所有用
  户都可运行crontab命令,应当建立一个空的cron.deny文件,如果cron.allow
  也存在,则删除该文件.
      这个版本的cron命令的安全程度比前一个高,因为用户只能看自己的
  crontab,系统管理员也不必担心其他用户的程序是否会作为root运行,由于允
  许每个系统登录用户有自己的crontab,也简化了对程序必须由cron运行,但不
  必作为root运行的系统程序的处理.
      必须确保root的crontab文件仅对root可写,并且该文件所在的目录及所
  有的父目录也仅对root可写.


  (7)/etc/profile
      每当用户(包括root在内)登录时,由shell执行/etc/profile文件,应确保
  这个文件以及从这个文件运行的程序和命令都仅对root可写.

--
※ 来源:·古庙钟声 cs3.xmu.edu.cn·[FROM: freedom@cs3.xmu.edu.]