 第1章文档安全和权限 为了防止未授权用户访问您的文档,能够在文档和目录上配置权限位。还能够设定文档 在创建时所具备的缺省权限:这些只是整个系统安全问题中的一小部分。在这里我们并不想 对系统安全问题的方方面面进行全面的探讨,只是介绍一下有关文档和目录的安全问题。 本章包含以下内容: • 文档和目录的权限。 • setuid。 • chown和c h g r p。 • umask。 • 符号链接。 创建文档的用户和他(她)所属于的组拥有该文档。文档的属主能够设定谁具备读、写、执 行该文档的权限。当然,根用户或系统管理员能够改变任何普通用户的配置。一个文档一经 创建,就具备三种访问方式: 1) 读,能够显示该文档的内容。 2) 写,能够编辑或删除他。 3) 执行,假如该文档是个s h e l l脚本或程式。 按照所针对的用户,文档的权限可分为三类: 1) 文档属主,创建该文档的用户。 2) 同组用户,拥有该文档的用户组中的任何用户。 3) 其他用户,即不属于拥有该文档的用户组的某一用户。 1.1 文档 当您创建一个文档的时候,系统保存了有关该文档的全部信息,包括: • 文档的位置。 • 文档类型。 • 文档长度。 • 哪位用户拥有该文档,哪些用户能够访问该文档。 • i节点。 • 文档的修改时间。 • 文档的权限位。 让我们使用ls -l命令,来看一个典型的文档: 第一部分s h e l l 下面让我们来分析一下该命令所得结果的前面两行,看看都包含了哪些信息: total 4232:这一行告诉我们该目录中任何文档所占的空间。 - r w x r- x r- x:这是该文档的权限位。假如除去最前面的横杠,这里一共是9个字符,他们 分别对应9个权限位。通过这些权限位,能够设定用户对文档的访问权限。这9个字符能够分 为三组: r w x:文档属主权限这是前面三位 r- x:同组用户权限这是中间三位 r- x:其他用户权限这是最后三位 后面我们还将对这些权限位作更周详的介绍。出现在r、w、x位置上的横杠表示相应的访 问权限被禁止。 1 该文档硬链接的数目。 root 文档的属主。 root 文档的属主r o o t所在的缺省组(也叫做r o o t )。 3578 用字节来表示的文档长度,记住,不是K字节! Oct 14 04:44 文档的更新时间。 dmesg 文档名。 1.2 文档类型 还记得前面一节所提到的文档权限位前面的那个字符吗?我们现在就解释一下这个横杠 所代表的意思,文档类型有七种,他能够从ls -l命令所列出的结果的第一位看出,这七种类型 是: d 目录。 l 符号链接(指向另一个文档)。 s 套接字文档。 b 块设备文档。 c 字符设备文档。 p 命名管道文档。 - 普通文档,或更准确地说,不属于以上几种类型的文档。 1.3 权限 让我们用t o u c h命令创建一个文档: $ touch myfile 现在对该目录使用ls -l命令: 2 第一部分shell 下载 我们已创建了一个空文档,正如我们所希望的那样,第一个横杠告诉我们该文档是一 个普通文档。您将会发现所创建的文档绝大多数都是普通文档或符号链接文档(后面将会出现 更多的符号链接文档)。 文档属主权限组用户权限其他用户权限 r w - r- - r? 接下来的三个权限位是文档属主所具备的权限;再接下来的三位是和您同组用户所具备 的权限,这里是a d m i n组;最后三位是其他用户所具备的权限。在该命令的结果中,我所属于 的缺省组也显示了出来。下面是对该文档权限的精确描述: 表1-1 ls -l命令输出的含义 (第一个字符) - 普通文档 (接下来的三个字符) r w - 文档属主的权限 (再接下来的三个字符) r- - 同组用户的权限 (最后三个字符) r- - 其他用户的权限 因此,这三组字符(除了第一个字符)分别定义了: 1) 文档属主所拥有的权限。 2) 文档属主缺省组(一个用户能够属于很多的组)所拥有的权限。 3) 系统中其他用户的权限。 在每一组字符中含有三个权限位: r 读权限 w 写/更改权限 x 执行该脚本或程式的权限 这里我们采用另外一种方式来表示刚才所列出m y f i l e的文档权限: - r w - r- - r-- 文档类型为普通文档文档属主能够读、写同组用户能够读其他用户能够读 您可能已注意到了,m y f i l e在创建的时候并未给属主赋予执行权限,在用户创建文档时, 系统不会自动地配置执行权限位。这是出于加强系统安全的考虑。必须手工修改这一权限位: 后面讲到u m a s k命令时,您就会明白为什么没有获得执行权限。然而,您能够针对目录配置执 行权限位,但这和文档执行权限位的意义有所不同,这一点我们将在后面讨论。 上面这段关于权限位的内容可能不太好理解,让我们来看几个例子(见表1 - 2 )。 更令人迷惑的是,对于文档属主来说,在只有读权限位被置位的情况下,仍然能够通过 文档重定向的方法向该文档写入。过一会儿我们就会看到,能否删除一个文档还依赖于该文 件所在目录权限位的配置。 表1-2 文档权限及含义 权限所代表的含义 r-- --- --- 文文档属主可读,但不能写或执行 r-- r-- --- 文文档属主和同组用户(一般来说,是文档属主所在的缺省组)可读 r-- r-- r- - 文任何用户都可读,但不能写或执行 rwx r-- r- - 文文档属主可读、写、执行,同组用户和其他用户只可读 rwx r-x --- 文文档属主可读、写、执行,同组用户可读、执行 第1章文档安全和权限3 下载 (续) 权限所代表的含义 rwx r-x r- x 文文档属主可读、写、执行,同组用户和其他用户可读、执行 rw- rw- --- 文文档属主和同组用户可读、写 rw- rw- r- - 文文档属主和同组用户可读、写,其他用户可读 rw- rw- --- 文文档属主和同组用户及其他用户读能够读、写,慎用这种权限 配置,因为任何用户都能够写入该文档 1.4 改变权限位 对于属于您的文档,能够按照自己的需要改变其权限位的配置。在改变文档权限位配置 之前,要仔细地想一想有哪些用户需要访问您的文档(包括您的目录)。能够使用c h m o d命令来 改变文档权限位的配置。这一命令有比较短的绝对模式和长一些的符号模式。我们先来看一 看符号模式。 1.4.1 符号模式 c h m o d命令的一般格式为: chmod [who] operator [permission] filename w h o的含义是: u 文档属主权限。 g 同组用户权限。 o 其他用户权限。 a 任何用户(文档属主、同组用户及其他用户)。 o p e r a t o r的含义: + 增加权限。 - 取消权限。 = 设定权限。 p e r m i s s i o n的含义: r 读权限。 w 写权限。 x 执行权限。 s 文档属主和组s e t - I D。 t 粘性位*。 l 给文档加锁,使其他用户无法访问。 u,g,o 针对文档属主、同组用户及其他用户的操作。 *在列文档或目录时,有时会碰到“ t”位。“t”代表了粘性位。假如在一个目录上出现 “t”位,这就意味着该目录中的文档只有其属主才能够删除,即使某个同组用户具备和属主 同等的权限。但是有的系统在这一规则上并不十分严格。 假如在文档列表时看到“ t”,那么这就意味着该脚本或程式在执行时会被放在交换区(虚 存)。但是由于当今的内存价格如此之低,大可不必理会文档的“ t”的使用。 4 第一部分shell 下载 1.4.2 chmod命令举例 现在让我们来看一些使用c h m o d命令的例子。假定m y f i l e文档最初具备这样的权限: r w x rwx rwx : 命令结果含义 chmod a-x myfile rw- rw- rw- 收回任何用户的执行权限 chmod og-w myfile rw- r-- r- - 收回同组用户和其他用户的写权限 chmod g+w myfile rw- rw- r- - 赋予同组用户写权限 chmod u+x myfile rwx rw- r- - 赋予文档属主执行权限 chmod go+x myfile rwx rwx r- x 赋予同组用户和其他用户执行权限 当创建m y f i l e文档时,他具备这样的权限: 假如这是我写的一个脚本,我希望能够具备执行权限,并取消其他用户(任何其他用户) 的写权限,能够用: $ chmod u+x o-w myfile 这样,该文档的权限变为: 现在已使文档属主对m y f i l e文档具备读、写执行的权限,而a d m i n组的用户对该文档具 有读权限。 假如希望某个脚本文档对您自己来说可执行,而且您对该文档的缺省权限很放心,那么 只要使他对您来说具备执行权限即可。 $ chmod u+x dt 1.4.3 绝对模式 c h m o d命令绝对模式的一般形式为: chmod [mode] file 其中m o d e是个八进制数。 在绝对模式中,权限部分有着不同的含义。每一个权限位用一个八进制数来代表,如表 1 - 3所示。 表1-3 八进制目录/文档权限表示 八进制数含义八进制数含义 0 4 0 0 文档属主可读0 0 1 0 同组用户可执行 0 2 0 0 文档属主可写0 0 0 4 其他用户可读 0 1 0 0 文档属主可执行0 0 0 2 其他用户可写 0 0 4 0 同组用户可读0 0 0 1 其他用户可执行 0 0 2 0 同组用户可写 在设定权限的时候,只需按照表1 - 3查出和文档属主、同组用户和其他用户所具备的权限 相对应的数字,并把他们加起来,就是相应的权限表示。 从表1 - 3中能够看出,文档属主、同组用户和其他用户分别所能够具备的最大权限值就是7。 第1章文档安全和权限5 下载 再来看看前面举的例子: 相应的权限表示应为6 4 4,他的意思就是: 0 4 0 0 + 0 2 0 0 (文档属主可读、写) = 0 6 0 0 0 0 4 0 (同组用户可读) = 0 0 4 0 0 0 0 4 (其他用户可读) = 0 0 0 4 0 6 4 4 有一个计算八进制权限表示的更好办法,如表1 - 4所示: 表1-4 计算权限值 文档属主同组用户其他用户 r w x r w x r w x 4 + 2 + 1 4 + 2 + 1 4 + 2 + 1 使用表1 - 4,能够更容易地计算出相应的权限值,只要分别针对文档属主、同组用户和其 他用户把相应权限下面的数字加在一起就能够了。 m y f i l e文档具备这样的权限: r w - r - - r - - 4 + 2 4 4 把相应权限位所对应的值加在一起,就是6 4 4。 1.4.4 chmod命令的其他例子 以下是一些c h m o d命令绝对模式的例子: 命令结果含义 chmod 666 rw- rw- rw- 赋予任何用户读和写的权限 chmod 644 rw- r-- r- - 赋予任何文档属主读和写的权限,任何其他用户读权限 chmod 744 rwx r-- r- - 赋予文档属主读、写和执行的权限,任何其他用户读的权限 chmod 664 rw- rw- r- - 赋予文档属主和同组用户读和写的权限,其他用户读权限 chmod 700 rwx --- --- 赋予文档属主读、写和执行的权限 chmod 444 r-- r-- r- - 赋予任何用户读权限 下面举一个例子,假定有一个名为y o a的文档,具备如下权限: 我现在希望使自己对该文档可读、写和执行, a d m i n组用户对该文档只读,能够键入: 假如希望自己对该文档可读、写和执行,对其他任何用户只读,我能够用: 假如希望一次配置目录下任何文档的权限,能够用: chmod 644* 这将使文档属主和同组用户都具备读和写的权限,其他用户只具备读权限。 6 第一部分shell 下载 还能够通过使用- R选项连同子目录下的文档一起配置: chmod -R 664 /usr/local/home/dave/* 这样就能够一次将/ u s r / l o c a l / h o m e / d a v e目录下的任何文档连同各个子目录下的文档的权限 全部配置为文档属主和同组用户可读和写,其他用户只读。使用- R选项一定要谨慎,只有在 需要改变目录树下全部文档权限时才能够使用。 1.4.5 能够选择使用符号模式或绝对模式 上面的例子中既有绝对模式的,也有符号模式的,我们能够从中看出,假如使用该命令 的符号模式,能够配置或取消个别权限位,而在绝对模式中则不然。我个人倾向于使用符号 模式,因为他比绝对模式方便快捷。 1.5 目录 还记得在前面介绍c h m o d命令时讲过,目录的权限位和文档有所不同。现在我们来看看其 中的区分。目录的读权限位意味着能够列出其中的内容。写权限位意味着能够在该目录中创 建文档,假如不希望其他用户在您的目录中创建文档,能够取消相应的写权限位。执行权限 位则意味着搜索和访问该目录(见表1 - 5、表1 - 6)。 表1-5 目录权限 r w x 能够列出该目录中的文档能够在该目录中创建或删除文档能够搜索或进入该目录 表1-6 目录权限举例 权限文档属主同组用户其他用户 drwx rwx r- x ( 7 7 5 ) 读、写、执行读、写、执行读、执行 drwx r-x r- - ( 7 5 4 ) 读、写、执行读、执行读 drwx r-x r- x ( 7 5 5 ) 读、写、执行读、执行读、执行 假如把同组用户或其他用户针对某一目录的权限配置为- - x,那么他们将无法列出该目录 中的文档。假如该目录中有一个执行位置位的脚本或程式,只要用户知道他的路径和文档名, 仍然能够执行他。用户不能够进入该目录并不妨碍他的执行。 目录的权限将会覆盖该目录中文档的权限。例如,假如目录d o c s具备如下的权限: 而其中的文档p a y的权限为: 那么a d m i n组的用户将无法编辑该文档,因为他所属的目录不具备这样的权限。 该文档对任何用户都可读,但由于他所在的目录并未给a d m i n组的用户赋予执行权限,所 以该组的用户都将无法访问该目录,他们将会得到“访问受限”的错误消息。 1.6 suid/guid 我们在前面曾提到过s u i d和g u i d。这种权限位近年来成为一个棘手的问题。很多系统供 第1章文档安全和权限7 下载 应商不允许实现这一位,或即使他被置位,也完全忽略他的存在,因为他会带来安全性风 险。那么人们为何如此大惊小怪呢? s u i d意味着假如某个用户对属于自己的s h e l l脚本配置了这种权限,那么其他用户在执行这 一脚本时也会具备其属主的相应权限。于是,假如根用户的某一个脚本配置了这样的权限, 那么其他普通用户在执行他的期间也同样具备根用户的权限。同样的原则也适用于g u i d,执 行相应脚本的用户将具备该文档所属用户组中用户的权限。 1.6.1 为什么要使用suid/guid 为什么要使用这种类型的脚本?这里有一个很好的例子。我管理着几个大型的数据库系 统,而对他们进行备份需要有系统管理权限。我写了几个脚本,并配置了他们的g u i d,这样 我指定的一些用户只要执行这些脚本就能够完成相应的工作,而无须以数据库管理员的身份 登录,以免不小心破坏了数据库服务器。通过执行这些脚本,他们能够完成数据库备份及其 他管理任务,但是在这些脚本运行结束之后,他们就又回复到他们作为普通用户的权限。 有相当一些U N I X命令也配置了s u i d和g u i d。假如想找出这些命令,能够进入/ b i n或/ s b i n目 录,执行下面的命令: $ ls -l | grep ’^...s’ 上面的命令是用来查找s u i d文档的; $ ls -l | grep ’^...s..s’ 上面的命令是用来查找s u i d和g u i d的。 现在我们明白了什么是s u i d,可是怎样配置他呢?下面就来介绍这个问题。假如希望配置 s u i d,那么就将相应的权限位之前的那一位配置为4;假如希望配置g u i d,那么就将相应的权限 位之前的那一位配置为2;假如希望两者都置位,那么将相应的权限位之前的那一位配置为4+2。 一旦配置了这一位,一个s将出现在x的位置上。记住:在配置s u i d或g u i d的同时,相应的 执行权限位必须要被配置。例如,假如希望配置g u i d,那么必须要让该用户组具备执行权限。 假如想要对文档l o g i n配置s u i d,他当前所具备的权限为rwx rw- r-- (741),需要在使用 c h m o d命令时在该权限数字的前面加上一个4,即chmod 4741,这将使该文档的权限变为r w s rw- r - -。 $ chmod 4741 logit 1.6.2 配置suid/guid的例子 下面给出几个例子: 表1-7 配置s u i d / g u i d 命令结果含义 chmod 4755 rws r-x r- x 文文档被配置了s u i d,文档属主具备读、写和执行的权限,任何其 他用户具备读和执行的权限 chmod 6711 rws --s --s 文文档被配置了s u i d和g u i d,文档属主具备读、写和执行的权限, 任何其他用户具备执行的权限 chmod 4764 rws rw- r- - 文文档被配置了s u i d,文档属主具备读、写和执行的权限,同组用 户具备读和执行的权限,其他用户具备读权限 8 第一部分shell 下载 还能够使用符号方式来配置s u i d / g u i d。假如某个文档具备这样的权限: rwx r-x r- x,那么 能够这样配置其s u i d: chmod u+s 于是该文档的权限将变为: rws r-x r-x 在查找配置了s u i d的文档时,没准会看到具备这样权限的文档:rwS r-x r- x,其中S为大写。 他表示相应的执行权限位并未被配置,这是一种没有什么用处的s u i d配置,能够忽略他的存在。 注意,c h m o d命令不进行必要的完整性检查,能够给某一个没用的文档赋予任何权限,但 chmod 命令并不会对所配置的权限组合做什么检查。因此,不要看到一个文档具备执行权限, 就认为他一定是个程式或脚本。 1.7 chown和chgrp 当您创建一个文档时,您就是该文档的属主。一旦您拥有某个文档,就能够改变他的所 有权,把他的任何权交给另外一个/ e t c / p a s s w d文档中存在的合法用户。能够使用用户名或用 户I D号来完成这一操作。在改变一个文档的任何权时,相应的s u i d也将被清除,这是出于安 全性的考虑。只有文档的属主和系统管理员能够改变文档的任何权。一旦将文档的任何权交 给另外一个用户,就无法再重新收回他的任何权。假如真的需要这样做,那么就只有求助于 系统管理员了。 c h o w n命令的一般形式为: chmod -R -h owner file - R选项意味着对任何子目录下的文档也都进行同样的操作。- h选项意味着在改变符号链 接文档的属主时不影响该链接所指向的目标文档。 1.7.1 chown举例 这里给出几个例子: 文档p r o j e c t的任何权现在由用户l o u i s e交给了用户p a u l i n e。 1.7.2 chgrp举例 c h g r p命令和c h o w n命令的格式差不多,下面给出一个例子。 用户p a u l i n e现在把该文档所属的组由a d m i n变为s y b a d m i n(系统中的另外一个用户组)。 1.7.3 找出您所属于的用户组 假如您希望知道自己属于哪些用户组,能够用如下的命令: 第1章文档安全和权限9 下载 或能够使用i d命令: 1.7.4 找出其他用户所属于的组 为了找出其他用户所属于的组,能够用如下的命令: 上面的命令告诉我们用户m a t t y属于s y b a d m i n、a p p s g e n和p o s t用户组。 1.8 umask 当最初登录到系统中时, u m a s k命令确定了您创建文档的缺省模式。这一命令实际上和 c h m o d命令正好相反。您的系统管理员必须要为您配置一个合理的u m a s k值,以确保您创建的 文档具备所希望的缺省权限,防止其他非同组用户对您的文档具备写权限。 在已登录之后,能够按照个人的偏好使用u m a s k命令来改变文档创建的缺省权限。相应 的改变直到退出该s h e l l或使用另外的u m a s k命令之前一直有效。 一般来说,u m a s k命令是在/ e t c / p r o f i l e文档中配置的,每个用户在登录时都会引用这个文 件,所以假如希望改变任何用户的u m a s k,能够在该文档中加入相应的条目。假如希望永久性 地配置自己的u m a s k值,那么就把他放在自己$ H O M E目录下的. p r o f i l e或. b a s h _ p r o f i l e文档中。 1.8.1 怎样计算umask值 u m a s k命令允许您设定文档创建时的缺省模式,对应每一类用户(文档属主、同组用户、 其他用户)存在一个相应的u m a s k值中的数字。对于文档来说,这一数字的最大值分别是6。系 统不允许您在创建一个文本文档时就赋予他执行权限,必须在创建后用c h m o d命令增加这一 权限。目录则允许配置执行权限,这样针对目录来说, u m a s k中各个数字最大能够到7。 该命令的一般形式为: umask nnn 其中n n n为u m a s k置0 0 0 - 7 7 7。 让我们来看一些例子。 计算出您的u m a s k值: 能够有几种计算u m a s k值的方法,通过配置u m a s k值,能够为新创建的文档和目录配置缺 省权限。表1 - 8列出了和权限位相对应的u m a s k值。 在计算u m a s k值时,能够针对各类用户分别在这张表中按照所需要的文档/目录创建缺省 权限查找对应的u m a s k值。 例如,u m a s k值002 所对应的文档和目录创建缺省权限分别为6 6 4和7 7 5。 更有另外一种计算u m a s k值的方法。我们只要记住u m a s k是从权限中“拿走”相应的位即 可。 10 第一部分shell 下载 表1-8 umask值和权限 u m a s k 文档目录 0 6 7 1 6 6 2 4 5 3 4 4 4 2 3 5 2 2 6 0 1 7 0 0 例如,对于u m a s k值0 0 2,相应的文档和目录缺省创建权限是什么呢? 第一步,我们首先写下具备全部权限的模式,即7 7 7 (任何用户都具备读、写和执行权限)。 第二步,在下面一行按照u m a s k值写下相应的位,在本例中是0 0 2。 第三步,在接下来的一行中记下上面两行中没有匹配的位。这就是目录的缺省创建权限。 稍加练习就能够记住这种方法。 第四步,对于文档来说,在创建时不能具备文档权限,只要拿掉相应的执行权限比特即 可。 这就是上面的例子,其中u m a s k值为0 0 2: 1) 文档的最大权限rwx rwx rwx (777) 2) umask值为0 0 2 - - - - - - -w- 3) 目录权限rwx rwx r-x (775) 这就是目录创建缺省权限 4) 文档权限rw- rw- r-- (664) 这就是文档创建缺省权限 下面是另外一个例子,假设这次u m a s k值为0 2 2: 1) 文档的最大权限rwx rwx rwx (777) 2 ) u m a s k值为0 2 2 - - - -w- -w- 3) 目录权限rwx r-x r-x (755) 这就是目录创建缺省权限 4) 文档权限rw- r-- r-- (644) 这就是文档创建缺省权限 1.8.2 常用的umask值 表1 - 9列出了一些u m a s k值及他们所对应的目录和文档权限。 表1-9 常用的u m a s k值及对应的文档和目录权限 u m a s k值目录文档 0 2 2 7 5 5 6 4 4 0 2 7 7 5 0 6 4 0 0 0 2 7 7 5 6 6 4 0 0 6 7 7 1 6 6 0 0 0 7 7 7 0 6 6 0 假如想知道当前的umask 值,能够使用u m a s k命令: 第1章文档安全和权限11 下载 假如想要改变u m a s k值,只要使用u m a s k命令配置一个新的值即可: $ umask 002 确认一下系统是否已接受了新的u m a s k值: 在使用u m a s k命令之前一定要弄清楚到底希望具备什么样的文档/目录创建缺省权限。否 则可能会得到一些很奇怪的结果;例如,假如将u m a s k值配置为6 0 0,那么所创建的文档/目 录的缺省权限就是0 6 6! 1.9 符号链接 存在两种不同类型的链接,软链接和硬链接,这里我们只讨论软链接。软链接实际上就 是个指向文档的指针。您将会发现这种软链接使用起来很方便。 1.9.1 使用软链接来保存文档的多个映像 下面我们就解释一下符号链接是怎么回事。比方说在/ u s r / l o c a l / a d m i n / s a l e s目录下有一个 含有销售信息的文档,销售部门的每一个人都想看这份文档。您能够在每一位用户的$ H O M E 目录下建立一个指向该文档的链接,而不是在每个目录下拷贝一份。这样当需要更改这一文 件时,只需改变一个源文档即可。每个销售$ H O M E目录中的链接能够起任何名字,不必和源 文档一致。 假如有很多子目录,而进入这些目录很费时间,在这种情况下链接也很有用。能够针 对$ H O M E目录下的一个很深的子目录创建一个链接。更有,比如在安装一个应用程式时,他 的日志被保存到/ u s r / o p t / a p p / l o g目录下,假如想把他保存在另外一个您认为更方便目录下,可 以建立一个指向该目录的链接。 该命令的一般形式为: ln [-s] source_path target_path 其中的路径能够是目录也能够是文档。让我们来看几个例子。 1.9.2 符号链接举例 假如系统中有4 0个销售和管理用户,销售用户使用一个销售应用程式,而管理用户使用 一个管理应用程式。我作为系统管理员该怎么做呢?首先删除他们各自$ H O M E目录下的所 有. p r o f i l e文档。然后在/ u s r / l o c a l / m e n u s /目录下创建两个p r o f i l e文档,一个是s a l e s . p r o f i l e,一 个是a d m i n . p r o f i l e,他们分别为销售和管理人员提供了所需的环境,并引导他们进入相应的应 用程式。现在我在任何销售人员的$ H O M E目录下分别创建一个指向s a l e s . p r o f i l e的链接,在所 有管理人员的$ H O M E目录下分别创建一个指向a d m i n . p r o f i l e文档的链接。注意,不必在上面 命令格式中的t a rg e t _ p a t h端创建相应文档,假如不存在这样一个文档, l n命令会自动创建该文 12 第一部分shell 下载 件。下面就是我对销售人员m a t t y所做的操作。 (您所看到的可能会和此稍有差别)。 这就是我所要做的全部工作;对于管理人员也是如此。而且假如需要作任何修改的话, 只要改变销售和管理人员的p r o f i l e文档即可,而不必对4 0个用户逐一进行修改。 下面是另外一个例子。我所管理的系统中有一个网络监控器,他将日志写在/ u s r / o p t / m o n i t o r / r e g s t a r目录下,但其他任何的日志都保存在/ v a r / a d m / l o g s目录下,这样只需在该目录 下建立一个指向原有文档的链接就能够在一个地方看任何的日志了,而不必花费很多时间分 别进入各个相应的目录。下面就是所用的链接命令: $ ln -s /usr/opt/monitor/regstar/reg.log /var/adm/logs/monitor.log 假如链接太多的话,能够删掉一些,但是切记不要删除源文档。 不管是否在同一个文档系统中,都能够创建链接。在创建链接的时候,不要忘记在原有 目录配置执行权限。链接一旦创建,链接目录将具备权限7 7 7或rwx rwx rwx,但是实际的原 有文档的权限并未改变。 在新安装的系统上,通常要进行这样的操作,在/ v a r目录中创建一个指向/ t m p目录的链接, 因为有些应用程式认为存在/ v a r / t m p目录(然而他实际上并不存在),有些应用程式在该目录中 保存一些临时文档。为了使任何的临时文档都放在一个地方,能够使用l n命令在/ v a r目录下建 立一个指向/ t m p目录的链接。 现在假如我在/ v a r目录中列文档,就能够看到刚才建立的链接: 1.10 小结 本章介绍了一些有关文档安全的基本概念。假如这些命令能够使用得当而且使用得比较 谨慎,应该不会有什么问题。手指轻轻一敲就有可能输入chmod -R这样的命令,他将改变整 个文档系统的权限,假如没有做备份的话,没有几年的时间恐怕是无法恢复了,所以在输入 这些命令时,千万不要在手指上贴膏药! 是否使用配置了s u i d的脚本完全取决于您自己。假如使用的话,一定要确保能够监控他的 使用,而且不要以根用户身份配置s u i d。 第1章文档安全和权限13 下载 |
喜欢本文,那就收藏到: |
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,status=no,resizable=yes'));keyit.focus(); "添加到POCO网摘"){kind=logo}
Rss Feed
