我建立一个普通用户(shell类型是sh) ,不属于INFORMIX组(也没有告诉用户该机器上INFORMIX的配置) ,也不属于任何系统组 ,只允许该用户访问自己HOME下的东西,不想让他访问INFORMIX 。可是我发现居然该用户路径下多了.lastlogin和.sh_history两个文件 ,.lastlogin是auth组的 ,.profile中也设置了INFORMIX的环境变量 ,从.sh_history看该用户也访问了数据库 。他是如何做的呢? :evil:
| CNL 回复于:2004-09-29 10:32:59 |
| 用户可以强制修改自己owner的文件啊,.profile当然可以自己改了。
另外informix的帐户目录如果可read,那么他也可以cd过去看看你怎么配的informix了 1、你可登录root,把这个用户.profile的属主改为root, 然后#chmod 644 .profile去掉可写, 这样用户自己只能看不能改.profile了 2、.lastlogin是系统自己产生的审计文件,属主就是auth, 你不用和它过不去了 |
| tomcat8890 回复于:2004-09-29 10:51:52 |
| 呵呵 ,偶是疑心过重了 ,以至于连一些基本判断思路都乱了 ,谢谢 |
| tomcat8890 回复于:2004-09-29 10:54:50 |
| 但我还有一个地方不明白 ,就是他的.sh_history ,我印象bsh没有啊 ,他如何产生的呢? |
| meteor06 回复于:2004-09-29 11:02:18 |
| 你可登录root,把这个用户.profile的属主改为root,
然后#chmod 644 .profile去掉可写, 这个不是太有用啊,改变环境变量不一定非要用.profile 啊, 用其他方式仍然可以作到,只是麻烦了一些 不如将informix 的.profile 的其他组用户的读权限去掉 |
| tomcat8890 回复于:2004-09-29 11:09:13 |
| 目前我的INFORMIX的.profile只是600的权限啊 ,这是默认的 ,而且我用另外一个用户测试连/usr/informix都进不去 ,报$ cd /usr/informix
/usr/informix: permission denied ,他也应该一样啊;此外 ,您还是没回答.sh_history的问题 |
| CNL 回复于:2004-09-29 11:10:14 |
| .sh_history是系统自动记录的用户历史操作,供管理员审查用 |
| tomcat8890 回复于:2004-09-29 11:15:34 |
| 可是其他用户没有啊 ,我也印象bsh没有的 ,他应该获得了一些额外的权限吧 |
| sylssgw 回复于:2004-09-29 13:56:05 |
| 该用户类型为ksh,.sh_history该文件记录的为该用户所执行的历史命令,你可以vi /etc/passwd看该用户的shell类型 |
延伸阅读
文章来源于领测软件测试网 https://www.ltesting.net/