第三课

对不起，上午有点事没来，帖子发晚了。
昨天看见少三页在嘲笑我，我想声明一下：并不是我懒没有写，而是我在想到底有多少人能跟上呢？其实当初如果不是sherley老大让我把重点写出来，我根本不会写这么多东西。当初是希望大家能仔仔细细的看完书后再到论坛上来讨论交流的。而我预先想的也只是把比较难懂的部分说一说。而即使是现在，我写的东西也不是很全的，有一些提到的命令（如第二章的shell下的参数等等）我都没有提，因为我觉的书上写的更清楚。所以我更希望的是大家仔细看书后再来看我的文章，有问题提出来是最欢迎的。


第三章
1、pwconv只要记住这个文件是根据/etc/passwd文件的内容来修改/etc/shadow文件的内容就可以了。
2、who命令对应/var/adm/utmpx文件，last命令对应/var/adm/wtmpx文件。同时知道console指控制台，pts指虚设备就是不是实际的物理设备，一般都为远程接入，term是指从串口连接的设备。应该注意的是console控制台和terminator终端在系统中的区别。在平时运行两个程序是没有区别的。但在系统发生一些错误等的时候（例如本章中讲到的sulog的信息写屏）就是到console上，而不会到终端上。这样在系统频繁写屏的时候就应该打开终端操作。
3、finger命令（呵呵，比我岁数多大的命令吧？？）可以知道两个固定的显示文件----.plan和.projects注意书上说的它们的属性必须是644
4、呵呵，配套命令id，whoami，who am i明白了uid和euid的区别就自然会了。简单的说就是:uid就是你login时候用的哪个帐户的id，而euid则是你现在有效的uid。程序在运行的时候一般看的都是euid，当然也有特出的，who am i就是一个。
5、明白了uid和euid的话，就来看看本章的难点：setuid setgid stickybit吧。
系统中有的命令，比如snoop，format等命令涉及到系统的安全，是只有root才可以使用的。而另一些命令，如passwd等虽然也涉及到系统的安全，但用户也要常使用，这就造成了一种矛盾。而解决的办法就是用setuid。它的作用是当普通的用户使用passwd命令的时候，系统将它的euid变为0，这样用户就可以使用这个命令对/etc/passwd和/etc/shadow来进行操作了。
而setgid虽然形式上和setuid相近，但是在使用上却是和sticky bit比较类似。一般都是用在一个目录上。用户可以在此创建文件，但是文件的属组不是文件所有人的属组，而是该目录的属组。
sticky bit也是用在目录上的，但是在该目录创建的文件却只owner of file ,
owner of directory ,root才可以删除。
说起来现在的sun ray系列绝对是这个思想的延伸。用户只能通过终端在主机上操作，写的程序想带走都没有办法，呵呵：）
6、ACL我不想写了，书上写的很明白了，可是你照做后虽然用getfacl看有读写的权限，实际上还是没有。而且不知道sun为什么对这个白痴一样的功能那么感兴趣，我考的时候居然有两道。真不明白。


照例是几个问题
1、书上说loginlog可以记录连续5次的错误登陆，你试成功了吗？是在任何情况下都可以吗？
2、如何限制root登陆，即使是在本机也不例外？
3、/etc/default/passwd中的PASSLENGTH是对所有用户都有效的吗？所有用户的口令必须都遵循吗？


昨天的答案：
1、当使用nfs的时候，远程主机mount 本地的硬盘。理论上远程主机的root用户可以对自己机器里的任何文件系统进行操作。但当他访问本机的共享硬盘的时候，系统能够自动将远程主机的root用户的euid改为nobody，从而保护了本地共享硬盘的内容。
2、在用newgrp的时候。A group password is used by the newgrp command. This command is used to log a user into a new group. If that new group has a password, and the user is not a member of that group, the password has to be entered before newgrp will continue.
3、还有/etc/issue,/etc/default/te.netd,/etc/default/ftpd它们的作用都是一样的，可以在用户登陆的时候显示其中的banner=里面的内容。（有的文件要自己创建）
4、如果用户主目录下存在这个文件，则不会有任何信息输出到用户的控制台上。

shirley 回复于：2002-04-18 15:40:38

真的很不错。看了一下，真是汗颜哪。有的我也不清楚。看来抽空我也得看看。

mmmmn 回复于：2002-04-18 15:48:55

那sherley老大你先封了少三页好了，呵呵

阿骁 回复于：2002-04-18 15:50:58

mmmmn辛苦了，真是个好同志呀！

shirley 回复于：2002-04-18 15:51:16

他怎么惹你了？

三少爷 回复于：2002-04-18 16:06:44

我没惹她。。。。。。。。

mmmmn 回复于：2002-04-18 16:08:57

考，还说呢，竟然用她字？？？

三少爷 回复于：2002-04-18 16:19:24

什么意思？看不起她字吗？都什么年代了，男女都一样，。。哼。。小心shirley 砍你。。

czc9 回复于：2002-04-18 16:38:51

我在看

魂 回复于：2002-04-18 17:30:26

呵呵，MMMMN,看完你的课程，看来我三个月全过的计划是没有问题了。 SA238已经看了3遍，就是没有时间回北京考，许多又忘了。 呵呵，始终出差做项目。 看来我还是要抽出时间与大家一起学习了！

mmmmn 回复于：2002-04-18 17:39:32

你厉害

poppyhead 回复于：2002-04-18 17:50:01

mmmmn，不好意，问一下， 你讲的是sa118吗？ 谢谢！

wangzhiq5 回复于：2002-04-18 18:10:30

多谢了，mmmmn

mmmmn 回复于：2002-04-18 18:14:26

考，是238！！！ 今天是第三章

bear 回复于：2002-04-18 18:30:16

不错！！不少我都很少留意。 关于问题，我没有翻书，凭经验回答，不对的话，请指正。 1、没有试验过 2、好象将/etc/default/login文件中的CONSOLE行后面改乱，ROOT就也无法登陆了，不要注释掉。 3、好象ROOT不受限制。 太久没有看书了，请大家指正。

mmmmn 回复于：2002-04-18 18:45:05

呵呵，不到明天绝不给答案：）

boycw 回复于：2002-04-18 18:54:25

为什么？那今晚怎么睡！

cookiwu 回复于：2002-04-19 09:16:52

这样挺好的呀，不知道的就再查查资料。明天就知道你今天的成果了！！ 谢谢，mmmmn

daiwei 回复于：2002-04-19 10:17:53

写得很细，很专业。我底子较薄，现还无法消化，只有找时间，啃啃Solaris，再跟回课程。     感受到了这里的热烈的技术气氛！[size=5]文字[/size]

cqg 回复于：2002-04-19 10:41:52

呵呵，第二个问题： 设为CONSOLE=  即可 顺便说一句，这么学下去 可以不必参加SUN的培训了 MMMMN，SUN要找你算帐了，呵呵

joy 回复于：2002-04-19 10:41:56

为什么在关机时报/var/adm/utmpx，/var/adm/wtmpx 无法创建？

chet 回复于：2002-04-19 15:09:28

只会曲解第二个问题，能不能把root的passwd锁了，然后需要root权限的时候就用sudo好了。

mmmmn 回复于：2002-04-19 15:44:54

楼上，就是改/etc/default/login呀：）

chenying 回复于：2002-04-22 17:36:42

更正书上印错的（我的书是错了，不知大家的如何） finger命令查看时的.projects文件是错的，应为.project文件

chenying 回复于：2002-04-22 17:48:45

补充： .project 和.plan不一定是664，444也可以显示

原文转自：http://www.ltesting.net