注意:如果系統(tǒng)的安全管理不好,或系統(tǒng)是新安裝的,其安全程序不夠高,可以用make方式在安全強的系統(tǒng)上運行上述程序,將許可規(guī)則文件拷貝到新系統(tǒng)來,再以設(shè)置方式在新系統(tǒng)上運行上述程序,就可提高本系統(tǒng)的安全程序.但要記住,兩個系統(tǒng)必須運行相同的UNIX系統(tǒng)版本.4.作為root運行的程序在UNIX系統(tǒng)中,有些程序由系統(tǒng)作為root進程運行.這些程序并不總是具有SUID許可,因為其不少程序僅由root運行,系統(tǒng)管理員需要清楚這些程序做什么,以及這些程序還將運行其它什么程序.(1)啟動系統(tǒng)
當某些UNIX系統(tǒng)(如SCO UNIX/XENIX)啟動時,是以被稱為單用戶的方式運行,在這種方式中普通用戶不能登錄,唯有的進程是init, swapper,以及一些由系統(tǒng)管理員從控制臺運行的進程.UNIX系統(tǒng)的單用戶方式啟動,使系統(tǒng)管理員能在允許普通用戶登錄以前,先檢查系統(tǒng)操作,確保系統(tǒng)一切正常,當系統(tǒng)處于單用戶方式時,控制臺作為超級用戶,命令揭示是"#",有些UNIX系統(tǒng)不要確認超級用戶口令就認可控制臺是root,給出#提示符.這就可能成為一個安全問題.(2)init進程
UNIX系統(tǒng)總是以某種方式或稱為某種級運行,系統(tǒng)有若干種運行級,這些運行級由init進程控制.UNIX系統(tǒng)啟動時以單用戶方式運行,也叫1級或S級.對于其他用戶登錄進入系統(tǒng),UNIX有一種多用戶運行方式,也叫2級.init進程控制系統(tǒng)運行級,它讀入文件/etc/ inittab,該文件詳細地規(guī)定了哪些進程在哪一級運行.當root敲入init n(數(shù)字),系統(tǒng)就進入n級.init讀該文件以確定終止哪些進程,啟動哪些進程.有效的運行級的數(shù)值是從0到6與s.
注意:由init建立的進程以UID為0運行(root)從/etc/inittab運行的程序 也作為root運行,所以系統(tǒng)管理員要確保自己知道/etc/inittab中的程序做什么工作,確保這些程序以及這些程序所在的目錄直到/和/etc/inittab除root外無人可寫.(3)進入多用戶
當UNIX系統(tǒng)進入多用戶方式時,將寢化一系列事件,接著開始執(zhí)行g(shù)ettys,允許其他用戶登錄進入系統(tǒng).如果再看看/etc/inittab文件,會看到gettys定義在運行級2,至少三個shell程序/etc/brc,/etc/bcheckrc,/etc/rc*也定義在運行級2.這些程序都在gettys啟動前運行.這些shell程序作為root運行,也不能僅對root可寫還應(yīng)當檢查shell程序運行的命令,因為這些命令也將作為root運行.(4)shutdown命令
用shutdown命令關(guān)系統(tǒng),shutdown shell程序發(fā)送警告通知所有用戶離開系統(tǒng),在"給定的期限時間"到了后,就終止進程,拆卸文件系統(tǒng),進入單用戶方式或關(guān)機狀態(tài).一旦進入單用戶方式,所有的gettys停止運行,用戶再不能登錄.進入關(guān)機狀態(tài)后可將系統(tǒng)關(guān)電. shutdown僅能由作為root登錄的用戶從系統(tǒng)控制臺上運行.所以任何的shutdown運行的命令僅能對root可寫.(5)系統(tǒng)V的cron程序
cron在UNIX系統(tǒng)是多用戶方式時運行,根據(jù)規(guī)定的時間安排執(zhí)行指定的命令,每隔一分鐘檢查一次文件/usr/lib/crontab,尋找是否有應(yīng)當運行的程序? 如果找到要運行的程序,就運行該程序,否則睡眠等待一分鐘. 實際的/usr/lib/crontab用于根據(jù)全天的規(guī)則時間表運行程序,也可在夜晚運行白天不愿運行怕降低其他用戶速度的程序.通常由cron運行的程序是如記帳,存文件這樣的程序.cron一般在系統(tǒng)進入多用戶后由/etc/rc啟動,當shutdown運行killall命令時便終止運行.由cron運行的程序作為root,所以應(yīng)當注意放什么程序在crontab中,還要確保/usr/lib/crontab和該表中列出的任何程序?qū)θ魏稳瞬豢蓪?如果用戶需要由cron執(zhí)行一個程序,系統(tǒng)管理員可用su命令在crontab表中建立一個入口,使用戶的程序不能獲得root的權(quán)限.(6)系統(tǒng)V版本2之后的cron程序
在系統(tǒng)V版本2中,cron被修改成允許用戶建立自己的crontab入口,/usr/lib/crontab文件不再存在,由目錄/usr/spool/cron/crontabs中的文件代替.這些文件的格式與crontab相同,但每個文件與系統(tǒng)中的一個用戶對應(yīng),并以某用戶的名義由cron運行.如果想限制能建立crontab的用戶,可在文件/usr/lib/cron/cron.allow文件中列出允許運行crontab命令的用戶.任何未列于該文件的用戶不能運行crontab.反之,若更愿意列出不允許運行crontab命令的用戶,則可將他們列入/usr/lib/cron/ cron.deny文件中,未列于該文件的其他用戶將被允許建立
推薦閱讀
- win7系統(tǒng)中桌面圖標不見了具體處理方法
- 在Unix系統(tǒng)中利用程序?qū)崿F(xiàn)Kill命令
- 飛利浦推出首個3G手機Nexperia蜂窩系統(tǒng)解決方案
- 首個基于飛利浦Nexperia蜂窩系統(tǒng)解決方案的GSM/GPRS/EDGE手機問世
- 提高unixware文件系統(tǒng)性能
- win10系統(tǒng)中禁用輸入法具體操作方法
- win7系統(tǒng)中出現(xiàn)開機失敗提示ntoskrnl.exe文件丟失具體處理步驟
- unix下的動態(tài)鏈接庫
- UNIX下發(fā)送屏幕信息
- UnixWare 7 與 OpenServer