我建立一个普通用户(shell类型是sh),不属于INFOR MI X组(也没有告诉用户该机器上INFORMIX的配置),也不属于任何系统组,只允许该用户访问自己HOME下的东西,不想让他访问INFORMIX,
请教一个SCO用户安全性问题 ,以前还真没思考过Windows系统
。可是我发现居然该用户路径下多了.lastlogin和.sh_history两个文件,.la我建立一个普通用户(shell类型是sh) ,不属于INFORMIX组(也没有告诉用户该机器上INFORMIX的配置) ,也不属于任何系统组 ,只允许该用户访问自己HOME下的东西,不想让他访问INFORMIX 。可是我发现居然该用户路径下多了.lastlogin和.sh_history两个文件 ,.lastlogin是auth组的 ,.profile中也设置了INFORMIX的环境变量 ,从.sh_history看该用户也访问了数据库。他是如何做的呢? :evil:
CNL 回复于:2004-09-29 10:32:59用户可以强制修改自己owner的文件啊,.profile当然可以自己改了。
另外informix的帐户目录如果可read,那么他也可以cd过去看看你怎么配的informix了
1、你可登录root,把这个用户.profile的属主改为root,
然后#chmod 644 .profile去掉可写,
这样用户自己只能看不能改.profile了
2、.lastlogin是系统自己产生的审计文件,属主就是auth, 你不用和它过不去了
tomcat8890 回复于:2004-09-29 10:51:52呵呵 ,偶是疑心过重了 ,以至于连一些基本判断思路都乱了 ,谢谢
tomcat8890 回复于:2004-09-29 10:54:50但我还有一个地方不明白 ,就是他的.sh_history ,我印象bsh没有啊 ,他如何产生的呢?
meteor06 回复于:2004-09-29 11:02:18你可登录root,把这个用户.profile的属主改为root,
然后#chmod 644 .profile去掉可写,
这个不是太有用啊,改变环境变量不一定非要用.profile 啊,
用其他方式仍然可以作到,只是麻烦了一些
不如将informix 的.profile 的其他组用户的读权限去掉
tomcat8890 回复于:2004-09-29 11:09:13目前我的INFORMIX的.profile只是600的权限啊 ,这是默认的 ,而且我用另外一个用户测试连/usr/informix都进不去 ,报$ cd /usr/informix
/usr/informix: permission denied ,他也应该一样啊;此外 ,您还是没回答.sh_history的问题
CNL 回复于:2004-09-29 11:10:14.sh_history是系统自动记录的用户历史操作,供管理员审查用
tomcat8890 回复于:2004-09-29 11:15:34可是其他用户没有啊 ,我也印象bsh没有的 ,他应该获得了一些额外的权限吧
sylssgw 回复于:2004-09-29 13:56:05该用户类型为ksh,.sh_history该文件记录的为该用户所执行的历史命令,你可以vi /etc/passwd看该用户的shell类型
原文转自:http://www.ltesting.net