SLES的权限保障机制 一、问题描述 普通用户执行su提示: Permissions on the password database may be too restrictive. 二、问题分析 1、校验su所在的软件包 csc-t7500:~ # rpm -qfV `which su`.M...... /bin/su提示
|
SLES的权限保障机制 本文引用自http://novell.me
一、问题描述
普通用户执行su提示:
Permissions on the password database may be too restrictive.
二、问题分析
1、校验su所在的软件包
csc-t7500:~ # rpm -qfV `which su`.M...... /bin/su提示M标记,说明权限被修改。
2、对比正常环境的权限
当前权限:-rwxr-xr-x 1 root root 37880 2007-05-03 21:49 /bin/su
正常权限:-rwxs-xr-x 1 root root 37880 2007-05-03 21:49 /bin/su
三、解决办法
chmod 4755 /bin/su
四、问题推广
如果不只su命令,还有很多系统基本命令权限被修改,怎么办呢?
五、SLES的权限保障机制
系统中通常有一些文件/目录需要时刻关注和保护它们的属主、权限,如果被修改会导致运行不正常。 本文转载自http://novell.me
SLES在这方面提供了一套很好的机制。该机制的工作原理如下:
1、权限规则数据库 ,定义在/etc/permissions*的文件和目录,如:
csc-t7500:/etc # ls -ld permissions*
-rw-r--r-- 1 root root 9108 2007-05-03 21:26 permissions
drwxr-xr-x 2 root root 4096 2009-08-24 18:17 permissions.d
-rw-r--r-- 1 root root 21207 2007-05-03 21:26 permissions.easy
-rw-r--r-- 1 root root 1340 2009-08-24 18:06 permissions.local
-rw-r--r-- 1 root root 22568 2007-05-03 21:26 permissions.paranoid
-rw-r--r-- 1 root root 24131 2007-05-03 21:26 permissions.secure
以上述例子来说明,/usr/bin的正确权限定义在/etc/permissions.easy中:
/bin/su root:root 4755 本文引用自Novell迷网站
2、权限检查和修复命令/sbin/conf.d/SuSEconfig.permissions
该程序可以被SuSEconfig调用,通常进入yast配置任意一个服务之后都会跑一遍SuSEconfig,自动修复权限。
如果需要手工检查修复,执行:
SuSEconfig --module permissions
仍然以/bin/su为例,运行SuSEconfig --module permissions检测到错误的权限并改正过来:
csc-t7500:~ # SuSEconfig --module permissions
Starting SuSEconfig, the SuSE Configuration Tool...
Running module permissions only
Reading /etc/sysconfig and updating the system...
Executing /sbin/conf.d/SuSEconfig.permissions...
Checking permissions and ownerships - using the permissions files
/etc/permissions.d/postfix
/etc/permissions.d/susehelp Novell迷网站內容,版权所有
/etc/permissions
/etc/permissions.easy
/etc/permissions.local
setting /bin/su to root:root 4755. (wrong permissions 0755)
Finished.
3、自定义权限保护配置
您可以在/etc/permissions.d/下编写自己的权限信息库,格式很简单,/etc/permissions.d/postfix为例:
/usr/sbin/sendmail root:root 0755
/etc/postfix/sasl_passwd root:root 0600
/etc/postfix/sasl_passwd.db root:root 0600
只需要三个字段:文件名 属主 权限
然后加一个cron任务定期检查和修复要关注的文件/目录即可 版权所有,未经Novell迷允许,不得转载!
|
CopyRight http://novell.me
转载请注明出处!
本文地址
http://novell.me/SUSE/2010/0522/SLES-Permissions.html (责任编辑:Novell迷)
