转至繁体中文版     | 网站首页 | 图文教程 | 资源下载 | 站长博客 | 图片素材 | 武汉seo | 武汉网站优化 | 
最新公告:     敏韬网|教学资源学习资料永久免费分享站!  [mintao  2008年9月2日]        
您现在的位置: 学习笔记 >> 图文教程 >> 网络应用 >> 网络安全 >> 正文
合理增加账户 确保系统的安全性         ★★★★

合理增加账户 确保系统的安全性

作者:闵涛 文章来源:闵涛的学习笔记 点击数:1298 更新时间:2008/9/6 13:47:24
在涉及到系统安全可靠这个问题时,我们可以考虑的问题很多。今天,我们就重点看一下怎样安全地增加账户和设置用户的外壳。

  向服务器增加用户账户

  在设置服务器时,我们经常会允许人们上传文件或者从服务器下载文件或消息。然而,我们却不想允许这些人访问整个服务器。实际上,在我们创建这些用户时,就可以限制这些用户的访问权限。

  要限制一个远程用户登录并且限制其访问shell(通过SSH,telnet,或其它登录服务),我们可以为一个用户设置默认的shell为nologin。例如:

  # useradd -s /sbin/nologin jerryb

  在将其shell设置为nologin之后,这个用户就不能登录到服务器来打开一个shell。不过,用户仍然能够使用这个账户登录到服务器上的FTP服务(如果此服务器可用并且此用户拥有一个口令)。默认情况下,此例中,用户通过FTP方式登录时的起始目录(home directory)将会是/home/jerryb。另一个只能访问服务器上的FTP服务的方法是,使用/usr/lib/sftp服务器作用一个用户的登录shell。虽然这会允许用户访问对用户可用的整个文件系统,它却限制其只能通过安全的FTP访问服务器。

  Web主机的一个通用作法是允许用户在服务器中放置内容,通常是通过利用FTP(但并非shell登录)放置在那个用户的/home/username/public_html目录中。但是,管理员能够选择将Web内容的位置指定到任何一个目录,包括系统范围内的Web服务器目录。下面的命令为用户webuser指定了/var/www/html为其起始目录(为了让此命令生效,我们还应该将文件的所有权改为属于webuser):

  # useradd -s /sbin/nologin -d /var/www/html webuser

  如果你想增加一个账户,使其只能访问电子邮件服务,也可以选择防止对FTP的任何访问。其中的一个方法是将用户的起始目录指向/dev/null。例如:

  # useradd -s /sbin/nologin -d /dev/null jerryb

  在设置好受限的用户账户之后,你还可以利用与特定服务相关的特性,进一步定义服务器上用户能访问的服务和不能访问的服务。

  为用户配置Shell

  允许为每一个用户个别地定制其shell启动文件是一个相当灵活而实用的方法。不过,有时我们需要比这种方法更加集中化的控制。你可能会拥有一个环境变量或者你想为每一个用户设置的其它shell设置(无一例外地进行)。如果你为每一个单独的shell增加这种设置,用户就可以拥有编辑这个文件并清除它的能力。进一步讲,如果这个设置要在将来做出改变,你就必须在每一个用户的shell启动文件中改变它。

  幸运的是,有一种更好的方法。我们有默认的可以适用于计算机所有用户的启动文件,并且在读取特定用户的文件之前,命令外壳先读取默认的启动文件。在bash命令外壳这种情况中,它会在做执行任何其它操作之前,先读取/etc/bashrc文件。

  与此类似的是,在处理用户home目录中的.cshrc 或者 .tcshrc文件之前,tcsh外壳先读取/etc/csh.cshrc文件。如下例中的/etc/csh.cshrc文件即适用于Fedora 和 RHEL:

  # /etc/cshrc

  #

  # csh configuration for all shell invocations.

  # by default, we want this to get set.

  # Even for non-interactive, non-login shells.

   [ 'id -gn' = 'id -un' -a 'id -u' -gt 99 ]

  if $status then

   umask 022

  else

   umask 002

  endif

  if ($?prompt) then

   if ($?tcsh) then

   set prompt='[%n@%m %c]$ '

   else

   set prompt=['id -nu'@'hostname -s']$

   endif

  endif

  /etc/cshrc 和/etc/bashrc设置了多种外壳环境选项。如果你想增加或修改系统中为每一个用户提供的外壳环境,那么/etc/bashrc 或者 /etc/cshrc文件正是你执行这种操作的地方。


[网络技术]PPTP服务器的端口  [C语言系列]Socket 编程,一个服务器,多个客户端,互相通信
[聊天工具]Office 2000 服务器扩展  [聊天工具]Firefox小插件gspace把Gmail变FTP服务器
[系统软件]突破Windows 2003 PHP服务器的新思路  [常用软件]微软最新VoIP服务器及客户端软件下周开测
[Delphi程序]Delphi深度探索之外壳执行操作记录器  [Web开发]一个简单的XML服务器
[SyBase]linux下安装jsp的web服务器 -- resin  [SyBase]Linux下超级安全的LAMP服务器
教程录入:mintao    责任编辑:mintao 
  • 上一篇教程:

  • 下一篇教程:
    • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
      注:本站部分文章源于互联网,版权归原作者所有!如有侵权,请原作者与本站联系,本站将立即删除! 本站文章除特别注明外均可转载,但需注明出处! [MinTao学以致用网]
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
    同类栏目
    · QQ技巧  · 网络安全
    · 网络技术
    更多内容
    热门推荐 更多内容
  • 没有教程
    		•
    赞助链接
    更多内容
    闵涛博文 更多关于武汉SEO的内容
    500 - 内部服务器错误。

    500 - 内部服务器错误。

    您查找的资源存在问题,因而无法显示。
    | 设为首页 |加入收藏 | 联系站长 | 友情链接 | 版权申明 | 广告服务
    MinTao学以致用网

    Copyright @ 2007-2012 敏韬网(敏而好学,文韬武略--MinTao.Net)(学习笔记) Inc All Rights Reserved.
    闵涛 投放广告、内容合作请Q我! E_mail:admin@mintao.net(欢迎提供学习资源)

    站长:MinTao ICP备案号:鄂ICP备11006601号-18

    闵涛站盟:医药大全-武穴网A打造BCD……
    		咸宁网络警察报警平台