Passwd,shadow,gshadow,group 这四个文件是 PAM ( portable authentication module )的数据库。 pam 的文件都是 (.so) 结尾的。 cd /lib64/security 目录中有很多 .so 的文件。其中到迄今为止都没有 bug 的是 pam_unix.so , pam_userdb.so 是的 pam_unix.
Passwd,shadow,gshadow,group 这四个文件是PAM(portable authentication module)的数据库。
pam的文件都是(.so)结尾的。
cd /lib64/security目录中有很多.so的文件。其中到迄今为止都没有bug的是pam_unix.so,pam_userdb.so是的pam_unix.so助手。
PAM的配置文件在/etc/pam.d/下。现在我们来看其中的一个配置文件etc/pam.d/login/。
login中有四类
auth:密码正确性。
passwd:密码最多能用的时间。
account:帐号是否合法。
session:性能(如,分配多少cpu)。
其中有一行是:
account required(必要条件) pam_nologin.so
在etc目录下touch 一个名为nologin的文件,那么用除root以外的用户登入就会提示“鉴定错误”(免打扰模式)。 删掉就恢复正常。
单单针对root的tty:
不让root在某个tty窗口登入。可以配置/etc/securetty的白名单配置文件。例如:如果不想让root在tty4登入,那么就在securetty白名单中把tty4注释掉。
也可以阻止其它用户在某个tty登入。需要配置/etc/security/access.conf配置文件。配置方法如下:
#-:ALL EXCEPT (wheel) shutdown sync:LOCAL
- : gg : tty4 # 不让gg用户在tty4上登入,其它tty可以。(也可以在这里配置root)。配置完access.conf文件后还需要配置一个文件,就是在/etc/pam.d/login文件中加上一句:account required pam_nologin.so
acl:对文件设置acl
给文件添加第二属主。
使用root 用户在tmp1 下
[root@station10 tmp1]# echo “helo body” >> file
[root@station10 tmp1]# getfacl file (查看文件属主)
# file: file
# owner: root
# group: root
user::rw-
group::r--
mask::r--
other::r--
[root@station10 tmp1]# su - eg
[eg@station10 ~]$ cd /root/tmp1/
[eg@station10 tmp1]$ echo 111 >> file
-bash: file: 权限不够
[root@station10 tmp1]# setfacl -m u:eg:rw file (-m 修改。用户:用户名:权限)
[root@station10 tmp1]# getfacl file
# file: file
# owner: root
# group: root
user::rw-
user:eg:rw- #eg用户
group::r--
mask::rw-
other::r--
[root@station10 tmp1]# su - eg
[eg@station10 ~]$ echo xxx >> /root/tmp1/file
[eg@station10 ~]$ cat /root/tmp1/file
helo body
xxx
在做以上实验时如果在执行 setfacl -m u:eg:rw file 的时候提示 不支持的操作,那是因为分区不具备acl品质。那么就需要给分区添上acl的品质。如下:
[root@station10 tmp1]# tune2fs -l /dev/sda3
……
Default mount options: user_xattr acl # 具备acl品质
……
如果没有该品质那么就要给它加上。第1种方式:“ tune2fs -o acl /dev/sda3 “ 添上。第二种方式:使用手工mount -o alc /dev/sda3 。第三种方式:开机自动挂载上,配置fstab如下图:使用mount -a 验证。Mount 查看是否具有acl品质。
defaults后面可以有(noexec,nodev)参数。当然这些参数也可以在挂载的时候写上或则fstab都行。
noexec:如果加了此参数那么在该分区就不能够使用( ./ ) 执行任何可执行文件。就会提示权限不够。
nodev:???
[root@station10 tmp1]# mknod egfile b 8 7
[root@station10 tmp1]# mount egfile /mnt1
/tmp1/egfile
/dev/sda7
acl:对目录设置acl
我们新建一个文件夹,然后使用刚刚对文件增加第二属主的方式来做。如下:
[root@station10 /]# mount /dev/sda7 /mnt
[root@station10 mnt]# mkdir dir
[root@station10 mnt]# getfacl dir/
# file: dir/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
[root@station10 mnt]# setfacl -m u:eg:rwx dir
setfacl: dir: 不支持的操作 #由于刚刚挂载的时候没有添加acl 品质的结果(一定要注意,如果没有acl 品质那么就不能做acl。)
[root@station10 mnt]# tune2fs -o acl /dev/sda7
[root@station10 mnt]# tune2fs -l /dev/sda7
……
Default mount options: acl #有了
……
[root@station10 /]# umount /mnt
[root@station10 /]# mount /dev/sda7 /mnt
[root@station10 mnt]# setfacl -m u:eg:rwx dir
[root@station10 mnt]# getfacl dir/
# file: dir/
# owner: root
# group: root
user::rwx
user:eg:rwx
group::r-x
mask::rwx
other::r-x
[root@station10 mnt]# cd dir/
[root@station10 dir]# mkdir dir1
[root@station10 dir]# getfacl dir1/
# file: dir1/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
#我们刚刚用root建的第一个文件夹(dir)我给它添加了第二个属主。现在需要再到dir 目录下再建立一个文件夹(dir1)并且也让它属于eg 用户,可是建完之后它并不属于eg,而是单单属于root。那我又得给它增加第二属主太麻烦了。可以使用一种方法让它一直保持第一层的特性。如下所示:
[root@station10 mnt]# ls -ld dir/
drwxrwxr-x+ 3 root root 1024 6月 4 22:27 dir/
[root@station10 dir]# ls -ld dir1/
drwxr-xr-x. 2 root root 1024 6月 4 22:36 dir1/
看到dir 与dir1 的ls -ld 有点不一样,那是因为dir1 没有保持dir 的特性(+)。那接下来我就让它保持dir 的特性。
就是在建立文件夹的时候加上一个d,就可以让它里面建立的第二层第三层等等都保持第一层的特性。如下:
[root@station10 mnt]# mkdir Docu
[root@station10 mnt]# setfacl -m d:u:eg:rwx Docu
[root@station10 mnt]# getfacl Docu/
# file: Docu/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:eg:rwx
default:group::r-x
default:mask::rwx
default:other::r-x
[root@station10 mnt]# cd Docu/
[root@station10 Docu]# mkdir Docu1
[root@station10 Docu]# getfacl Docu1/
# file: Docu1/
# owner: root
# group: root
user::rwx
user:eg:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:eg:rwx
default:group::r-x
default:mask::rwx
default:other::r-x
#观察到实验的结果了吧。
现在我想把第一层文件恢复原来的样子:
[root@station10 mnt]# setfacl -x d:u:eg Docu/ # (-x:删除)恢复只有一个属主,还留有defaults。
[root@station10 mnt]# setfacl -b Docu/ #恢复正常。可以直接使用-b(-b 级别高于-x)。
s位程序:可执行文件
文件被谁运行就归谁所有:
[root@station10 ~]# /bin/sleep 1000
[root@station10 ~]# ps -eo command,group,user | grep sleep | grep -v grep
/bin/sleep 1000 root root
[eg@station10 ~]$ /bin/sleep 1000
[eg@station10 ~]$ ps -eo command,group,user | grep sleep | grep -v grep
/bin/sleep 1000 eg eg
观察如上实验,就可发现不管是root还是eg 运行sleep ,它的属主都是运行者的。
在工业环境中,有时会要求我们用某个用户来运行某个程序,但是这个程序却不归我们这个用户所有。也就只有S 位程序能够实现。
[root@station10 ~]# ls -l /bin/sleep
-rwxr-xr-x. 1 root root 27880 6月 14 2010 /bin/sleep
[root@station10 ~]# chmod 4755 /bin/sleep
[root@station10 ~]# ls -l /bin/sleep
[eg@station10 ~]$ /bin/sleep 1000
[eg@station10 ~]$ ps -eo command,group,user | grep sleep | grep -v grep
/bin/sleep 1000 eg root
完全和刚刚的相反了,属主是root,而不是eg。(也可以是组)
s位程序:目录
对于目录而言,研究s程序只研究组。
[root@station10 mnt]# mkdir dir
[root@station10 mnt]# chown wang5:eg dir/ #dir属于wang5用户,属于eg组。
[root@station10 mnt]# chmod 2755 dir/
[root@station10 mnt]# ls -ld dir/
drwxr-sr-x. 2 wang5 eg 1024 6月 4 23:40 dir/
[root@station10 mnt]# cd dir
[root@station10 dir]# mkdir d1 #在dir里新建d1
[root@station10 dir]# ls -ld d1/
drwxr-sr-x. 2 root eg 1024 6月 4 23:40 d1/
root 建立的都必须归eg 组。连root都必须尊守。
原理:新建内节点。
[root@station10 dir]# cp -rp /etc/ ./
[root@station10 dir]# ls -ld *
drwxr-sr-x. 2 root eg 1024 6月 5 09:19 d1
drwxr-sr-x. 117 root root 8192 6月 5 09:19 etc
漏洞:移动或拷贝文件,组就会归移动者。
Other t位 (对文件的保护)
t 位 只对777目录,一般是tmp。
[root@station10 mnt]# mkdir tmp
[root@station10 mnt]# chmod 1777 tmp
[root@station10 mnt]# ls -ld tmp/
[root@station10 mnt]# cd tmp/
[root@station10 tmp]# touch 1.txt
[root@station10 tmp]# ls -l 1.txt
-rw-r--r--. 1 root root 0 Jun 6 21:55 1.txt
[root@station10 tmp]# su – wang5
[wang5@station10 ~]$ cd /mnt/tmp/
[wang5@station10 tmp]$ rm -rf 1.txt
rm: 无法删除"1.txt": 不允许的操作
增加了t位,是对777目录的保护,只能是自己本身和root可以删除外其它用户不可删除。
REDHAT6
小红书笔记怎么删除Mar 21, 2024 pm 08:12 PM小红书笔记怎么删除?在小红书APP中是可以编辑笔记的,多数的用户不知道小红书笔记如何的删除,接下来就是小编为用户带来的小红书笔记删除方法图文教程,感兴趣的用户快来一起看看吧!小红书使用教程小红书笔记怎么删除1、首先打开小红书APP进入到主页面,选择右下角【我】进入到专区;2、之后在我的专区,点击下图所示的笔记页面,选择要删除的笔记;3、进入到笔记页面,右上角【三个点】;4、最后下方会展开功能栏,点击【删除】即可完成。
小红书删除的笔记能恢复吗Oct 31, 2023 pm 05:36 PM小红书删除的笔记不能恢复。小红书作为一款知识分享和购物平台,为用户提供了记录笔记和收藏有用信息的功能。根据小红书的官方说明,已经删除的笔记是无法恢复的。小红书平台并没有提供专门的笔记恢复功能。这意味着,一旦在小红书中删除了笔记,无论是不小心误删还是其他原因,一般情况下是无法从平台上找回被删除的内容的。如果遇到特殊情况,可以尝试联系小红书的客服团队,看是否能够协助解决问题。
小红书发布过的笔记不见了怎么办?它刚发的笔记搜不到的原因是什么?Mar 21, 2024 pm 09:30 PM作为一名小红书的用户,我们都曾遇到过发布过的笔记突然不见了的情况,这无疑让人感到困惑和担忧。在这种情况下,我们该怎么办呢?本文将围绕“小红书发布过的笔记不见了怎么办”这一主题,为你详细解答。一、小红书发布过的笔记不见了怎么办?首先,不要惊慌。如果你发现笔记不见了,保持冷静是关键,不要慌张。这可能是由于平台系统故障或操作失误引起的。检查发布记录很简单。只需打开小红书App,点击“我”→“发布”→“所有发布”,就可以查看自己的发布记录。在这里,你可以轻松找到之前发布的笔记。3.重新发布。如果找到了之
如何在最新的iOS 17系统中连接iPhone上的Apple NotesSep 22, 2023 pm 05:01 PM使用添加链接功能在iPhone上链接AppleNotes。笔记:如果您已安装iOS17,则只能在iPhone上的AppleNotes之间创建链接。在iPhone上打开“备忘录”应用。现在,打开要在其中添加链接的注释。您还可以选择创建新备忘录。点击屏幕上的任意位置。这将向您显示一个菜单。点击右侧的箭头以查看“添加链接”选项。点击它。现在,您可以键入注释的名称或网页URL。然后,点击右上角的完成,添加的链接将出现在笔记中。如果要添加指向某个单词的链接,只需双击该单词即可将其选中,选择“添加链接”并按
小红书怎么在笔记中添加商品链接 小红书在笔记中添加商品链接教程Mar 12, 2024 am 10:40 AM小红书怎么在笔记中添加商品链接?在小红书这款app中用户不仅可以浏览各种内容还可以进行购物,所以这款app中关于购物推荐、好物分享的内容是非常多的,如果小伙伴在这款app也是一个达人的话,也可以分享一些购物经验,找到商家进行合作,在笔记中添加连接之类的,很多人都愿意使用这款app购物,因为不仅方便,而且有很多达人会进行一些推荐,可以一边浏览有趣内容,一边看看有没有适合自己的衣服商品。一起看看如何在笔记中添加商品链接吧!小红书笔记添加商品链接方法 在手机桌面上打开app。 在app首页点击
小红书发布笔记教程怎么弄?它发布笔记可以屏蔽人吗?Mar 25, 2024 pm 03:20 PM小红书作为一个生活方式分享平台,涵盖了美食、旅行、美妆等各个领域的笔记。许多用户希望在小红书上分享自己的笔记,但却不清楚如何操作。在这篇文章中,我们将详细介绍小红书发布笔记的流程,并探讨如何在平台上屏蔽特定用户。一、小红书发布笔记教程怎么弄?1.注册登录:首先,需要在手机上下载小红书APP,并完成注册登录。在个人中心完善个人资料是很重要的。通过上传头像、填写昵称和个人简介,可以让其他用户更容易了解你的信息,也能帮助他们更好地关注你的笔记。3.选择发布频道:在首页下方,点击“发笔记”按钮,选择你想
Nginx反向代理中基于HTTP动词和路径的ACL配置Jun 10, 2023 am 09:22 AMNginx是一款高性能的Web服务器和反向代理服务器,其强大的配置能力使得Nginx能够用于各种不同的场景。其中,基于HTTP动词和路径的ACL配置是Nginx反向代理中常用的一种方法,本文将介绍它的原理和实现方法。一、ACL的概念ACL(AccessControlList)即访问控制列表,是一种基于规则的访问控制技术。通过定义一些规则,可以对不同的访问
如何在Zend框架中使用ACL(Access Control List)进行权限控制Jul 29, 2023 am 09:24 AM如何在Zend框架中使用ACL(AccessControlList)进行权限控制导言:在一个Web应用程序中,权限控制是至关重要的一项功能。它可以确保用户只能访问其有权访问的页面和功能,并防止未经授权的访问。Zend框架提供了一种方便的方法来实现权限控制,即使用ACL(AccessControlList)组件。本文将介绍如何在Zend框架中使用ACL
Hot AI Tools
Undresser.AI Undress
AI-powered app for creating realistic nude photos
AI Clothes Remover
Online AI tool for removing clothes from photos.
Undress AI Tool
Undress images for free
Clothoff.io
AI clothes remover
AI Hentai Generator
Generate AI Hentai for free.
Hot Article
Hot Tools
Dreamweaver Mac version
Visual web development tools
SAP NetWeaver Server Adapter for Eclipse
Integrate Eclipse with SAP NetWeaver application server.
Atom editor mac version download
The most popular open source editor
VSCode Windows 64-bit Download
A free and powerful IDE editor launched by Microsoft
SublimeText3 Chinese version
Chinese version, very easy to use
