博文
(转)Solaris RBAC系统简介(2009-06-29 19:57:00)
摘要:Solaris RBAC(Role-Based Access Control)系统简介
转自http://blogs.sun.com/maxzhen/entry/solaris_rbac_role_based_access
众所周知,Solaris的安全性是世界领先的。而Solaris的RBAC系统(基于角色的存取控制系统)则为其领先性提供了强大的技术保证。最近因为一个项目需要,我有幸接触了一下RBAC系统,发现其复杂性估计也是世界第一了(天下没有免费的午餐啊)。
记得那天需要做项目中有关安全方面的设计,由于自己安全方面的相关知识十分缺乏(只知道root能干所有的事情,non-root只能缩在自己的home目录里面,权限少的可怜),只得去咨询一位安全方面的资深工程师。原以为在他办公室门口几分钟就可以问清楚的问题,结果,硬是被他揪到一个会议室里面连讲带画图的说了两个小时。最后,他告诉我两条结论:第一,我们项目目前的模块设计无法保证安全,需要重新进行功能模块划分;第二,按照他以往的经验,如果我出门不马上把他给我讲的写下来,通常情况下,24小时后就基本上忘的差不多了。
现在已经过了n个24小时了,记忆已经模糊。我必须把我还记得的一些写出来,以免下次再去问同样的问题^_*。
RBAC系统和以往root包打天下的系统最大的不同就是定义了许多特权(privileges(5))。我们可以把这些特权都集中在root身上(那就是和以前的系统一样了),也可以把他们分配给不同的用户(于是,普通用户也就可以拥有部分的特权了)。其实,在本质上,我们是把特权分配给在系统中运行的用户进程,使得他们可以通过系统调用来请求操作系统内核来完成程序运行需要的功能。
在一台机器上,操作系统内核是真正的主宰者,拥有权力执行任何指令。保证一台机器的安全,从某种意义上来说就是保证操作系统内核不被怀有恶意的用户程序(通过系统调用)滥用。在RBAC系统中,请求执行某个系统调用,要求该用户进程拥有相应的特权。如果不具备相应的特权,系统调用的执行将会失败。
例如,root用户可以改写任何其他用户拥有的文件,这是因为root用户拥有“file_dac_write”的特权。当write()系统调用被执行的时候,内核将检查用户进程是否有file_dac_write特权,从而决定是否完成这个写操作。如果我们将“......
(转)删除NIS(2009-06-26 11:09:00)
摘要:删除NIS
转自http://blog.chinaunix.net/u2/80598/showart_1687152.html
1)停止NIS服务守护进程 # /usr/lib/netsvc/yp/ypsttop
2)删除NIS域名 # domainname “” # rm /etc/defaultdomain
3)更换/etc/nsswitch.conf文件 # cp /etc/nsswitch.files /etc/nsswitch.conf
4)删除文件及目录 master server:/nis、/var/yp/domainname、/var/yp/*.time、/var/yp/binding/* slave server:/var/yp/domainname、/var/yp/*.time、/var/yp/binding/* client:/var/yp/binding/* # rm -r /nis # rm -r /var/yp/domainname # rm /var/yp/*.time # rm -r /var/yp/binding/*
5)编辑/var/yp/aliases文件,删除包含NIS域名的一行
6)编辑/etc/hosts文件,删除配置NIS时添加的主机相关信息
7)重启 # sync # reboot
配置NIS的步骤见http://blog.chinaunix.net/u2/80598/showart_1671156.html......