返回首页
当前位置: Novell迷 > SUSE >

SLES的权限保障机制

时间:2010-05-22 17:56来源:nuinet 作者:rzhu 点击:
SLES的权限保障机制 一、问题描述 普通用户执行su提示: Permissions on the password database may be too restrictive. 二、问题分析 1、校验su所在的软件包 csc-t7500:~ # rpm -qfV `which su`.M...... /bin/su提示

SLES的权限保障机制 本文来自Novell迷网站 http://novell.me

一、问题描述
普通用户执行su提示:
Permissions on the password database may be too restrictive.

二、问题分析
1、校验su所在的软件包
csc-t7500:~ # rpm -qfV `which su`.M......    /bin/su提示M标记,说明权限被修改。

2、对比正常环境的权限
当前权限:-rwxr-xr-x 1 root root 37880 2007-05-03 21:49 /bin/su
正常权限:-rwxs-xr-x 1 root root 37880 2007-05-03 21:49 /bin/su

三、解决办法
chmod 4755 /bin/su

四、问题推广
如果不只su命令,还有很多系统基本命令权限被修改,怎么办呢?

五、SLES的权限保障机制
系统中通常有一些文件/目录需要时刻关注和保护它们的属主、权限,如果被修改会导致运行不正常。 http://novell.me
SLES在这方面提供了一套很好的机制。该机制的工作原理如下:

1、权限规则数据库 ,定义在/etc/permissions*的文件和目录,如:
csc-t7500:/etc # ls -ld permissions*
-rw-r--r-- 1 root root  9108 2007-05-03 21:26 permissions
drwxr-xr-x 2 root root  4096 2009-08-24 18:17 permissions.d
-rw-r--r-- 1 root root 21207 2007-05-03 21:26 permissions.easy
-rw-r--r-- 1 root root  1340 2009-08-24 18:06 permissions.local
-rw-r--r-- 1 root root 22568 2007-05-03 21:26 permissions.paranoid
-rw-r--r-- 1 root root 24131 2007-05-03 21:26 permissions.secure

以上述例子来说明,/usr/bin的正确权限定义在/etc/permissions.easy中:
/bin/su                                                 root:root         4755 http://Novell.Me

2、权限检查和修复命令/sbin/conf.d/SuSEconfig.permissions
该程序可以被SuSEconfig调用,通常进入yast配置任意一个服务之后都会跑一遍SuSEconfig,自动修复权限。
如果需要手工检查修复,执行:
SuSEconfig --module permissions

仍然以/bin/su为例,运行SuSEconfig --module permissions检测到错误的权限并改正过来:
csc-t7500:~ # SuSEconfig --module permissions
Starting SuSEconfig, the SuSE Configuration Tool...
Running module permissions only
Reading /etc/sysconfig and updating the system...
Executing /sbin/conf.d/SuSEconfig.permissions...
Checking permissions and ownerships - using the permissions files
        /etc/permissions.d/postfix
        /etc/permissions.d/susehelp 本文转载自http://novell.me
        /etc/permissions
        /etc/permissions.easy
        /etc/permissions.local
setting /bin/su to root:root 4755. (wrong permissions 0755)
Finished.

3、自定义权限保护配置
您可以在/etc/permissions.d/下编写自己的权限信息库,格式很简单,/etc/permissions.d/postfix为例:
/usr/sbin/sendmail                root:root        0755
/etc/postfix/sasl_passwd        root:root        0600
/etc/postfix/sasl_passwd.db        root:root        0600

只需要三个字段:文件名  属主 权限
然后加一个cron任务定期检查和修复要关注的文件/目录即可

本文来自Novell迷网站 http://novell.me

Novell迷网站內容,版权所有

转载请注明出处!
本文地址 http://novell.me/SUSE/2010/0522/SLES-Permissions.html
(责任编辑:Novell迷)
对我有帮助
(1)
100%
没什么帮助
(0)
0%
------分隔线----------------------------
发表评论
验证码:点击我更换图片
赞助商链接