SCO Unix下普通用戶管理系統(tǒng)的授權(quán)方法

sdccf

作者：方剛  出處：Unix愛好者家園unix-cd.com  

---- SCO Unix操作系統(tǒng)由于其多用戶、多任務(wù)和時(shí)間片輪轉(zhuǎn)處理等機(jī)制的特殊性，因此不允許一般用戶執(zhí)行更改系統(tǒng)日期、發(fā)布信息或關(guān)閉系統(tǒng)等特殊操作。這些工作要具有超級(jí)用戶root的身份才能完成。在實(shí)際應(yīng)用中，為了保證系統(tǒng)的安全，一般不允許業(yè)務(wù)用戶進(jìn)入到超級(jí)用戶狀態(tài)，這樣就給系統(tǒng)管理帶來一定的難度。例如，如果想讓一個(gè)普通用戶來關(guān)閉系統(tǒng)，又不想讓他進(jìn)入超級(jí)用戶狀態(tài)，實(shí)現(xiàn)起來就不太容易。由于這類問題比較常見，所以大家都在積極探索。目前解決這一問題的方法報(bào)刊偶有介紹，但大都比較極端，也不夠規(guī)范和完善。比如，有人采用硬性修改/etc/passwd和/etc/shadow這2個(gè)重要的系統(tǒng)文件的方法來建一個(gè)關(guān)機(jī)用戶；也有人在root用戶的啟動(dòng)文件.profile里面加上相應(yīng)的關(guān)機(jī)指令; ……然而，上述方法要么不安全，用戶容易對(duì)系統(tǒng)造成無意的損害; 要么功能單一，用戶容易通過強(qiáng)迫中斷腳本的方式進(jìn)入超級(jí)用戶的命令狀態(tài)，對(duì)系統(tǒng)造成潛在的危害和風(fēng)險(xiǎn)，真正需要以超級(jí)用戶身份登錄時(shí)也很不方便。
---- 實(shí)際上，SCO Unix系統(tǒng)本身已經(jīng)提供了相當(dāng)完善的用戶授權(quán)機(jī)制，用于給一個(gè)普通用戶進(jìn)行授權(quán)，使其具有一定的權(quán)限來運(yùn)行超級(jí)用戶才能使用的某個(gè)命令，下面就介紹有關(guān)的方法。
---- 首先假設(shè)在SCO Unix系統(tǒng)上已經(jīng)有了一個(gè)用戶名為appadm的普通用戶，現(xiàn)在準(zhǔn)備給其授權(quán)，讓他能夠運(yùn)行下面3個(gè)只有root用戶才能運(yùn)行的命令：
---- asktime 更改系統(tǒng)日期命令
---- wall 發(fā)布信息命令
---- shutdown 關(guān)機(jī)命令
---- 為此，只需要執(zhí)行以下操作步驟。
---- 1. 以root身份登錄，將/etc目錄下的asktime、wall和shutdown這3個(gè)文件拷貝到/tcb/files/rootcmds目錄下，或者通過連接方式（用ln命令）在/tcb/files/rootcmds建立同名文件。
---- 2. 用vi修改文件/etc/auth/system/authorize的內(nèi)容，一般情況下最后一行的顯示如下：
root：shutdown
---- 在這一行的后面加上“wall，asktime”。需要注意的是，每個(gè)命令之間用“，”分開，存盤后退出。
---- 3. 運(yùn)行integrity和fixmog命令，對(duì)系統(tǒng)的可執(zhí)行文件屬性進(jìn)行檢查和修復(fù)，這一步主要是對(duì)/tcb/files/rootcmds目錄下的可執(zhí)行文件進(jìn)行屬性檢查和修復(fù)。若關(guān)心哪些文件被做了修改，可用fixmog -i命令觀察。
---- 4. 運(yùn)行系統(tǒng)管理程序sysadmsh（SCO Unix 5.0 以上版本叫scoadmin），選擇“Account Manager”，進(jìn)入“Account Manager”（用戶管理器）界面，見圖1。

---- 先選中用戶“appadm”，再在主菜單下選中“Users”*“Authorizations...”,進(jìn)入用戶的授權(quán)管理界面，見圖2。把光標(biāo)到“Use system default authorizations for this user account”那一行，將星號(hào)去掉，即不使用系統(tǒng)的缺省授權(quán)值。把光標(biāo)移到右邊“Not Authorized”的窗口下，這時(shí)會(huì)發(fā)現(xiàn)命令列表窗口中出現(xiàn)了剛剛拷貝的幾個(gè)命令：wall和asktime。請(qǐng)注意，shutdown已經(jīng)在列表中，表示shutdown是系統(tǒng)缺省的授權(quán)命令。按“Add”按鈕，選中剛定義的幾個(gè)命令，依次增加到左邊的“Authorized”（已授權(quán)命令）窗口內(nèi)，注意保留系統(tǒng)原有的授權(quán)命令，按“OK”退出即可。

---- 授權(quán)結(jié)束后，再用appadm身份登錄，就可以運(yùn)行剛剛授權(quán)的3個(gè)命令了。需要注意的是，運(yùn)行這些命令的方式與超級(jí)用戶略有差別，要按以下格式運(yùn)行：
---- $ /tcb/bin/asroot 〈命令〉
---- 比如，用戶以appadm身份登錄后，想運(yùn)行asktime命令，應(yīng)該輸入以下命令行：
---- $ /tcb/bin/asroot asktime
---- 想要在3分鐘后關(guān)機(jī)，鍵入下面一行命令即可：
---- $ /tcb/bin/asroot shutdown -g3 -y
---- 更高級(jí)的用法是在appadm的.profile文件中編制shell腳本，讓用戶選擇運(yùn)行關(guān)機(jī)、發(fā)布信息或者修改系統(tǒng)日期等命令的菜單，同時(shí)用trap命令捕獲中斷，以便防止用戶按下del中斷鍵進(jìn)入“#”命令狀態(tài)。
---- 其他命令的授權(quán)和使用法與此相同。如果想使appadm用戶再運(yùn)行其他超級(jí)用戶才能使用的命令，依照上述方法添加命令即可。
---- （作者地址：陜西省西安市勞動(dòng)路郵局用郵信箱16號(hào)，710082）


本文來自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u/31/showart_522822.html