網頁

2013年3月6日 星期三

/etc/security/*目錄的介紹


  • /etc/security/*
    • /etc/security/access.conf
      • 登入權限的控制表
        • 當某人登入時(無論是網路、本機登入),這裡頭的內容就會被檢查,權限這個欄位會決定使用者是否可以登入。
          • 格式   (權限:使用者:來源)
            • 權限只有2種:"+"(允許);"-"(拒絕)
            • 使用者的部份可以是單一使用者,或是多個使用者,或是群組名稱,或是ALL(全部)的字段。
            • 來源的部份,可以是tty(本機),IP address, domain name , 或是ALL(全部),如果要表示一個class C 的IP address,可以用10.1.1. 來表10.1.1.1~10.1.1.254,如果使用NIS,可以以@開頭表示。
          • 範例1:除了帳號supermain,shutown以及sync之外,不允許任何人在本機登入。
            • -:ALL EXCEPT superman shutdown sync:LOCAL
          • 範例2:除了本機以及domain name為.test.com結尾的位址外,不允許擁有特殊權限的群組super登入
            • -:super:ALL EXCEPT LOCAL .test.com
          • 範例3:不允許某些使用者登入
            • -:guest1 guest2 guest3:ALL
    • /etc/security/limits.conf
      • 格式 ( domain type item value )
        • domain:可以是帳號、群組名稱(@群組名稱)、*表示預設值
        • type:有2種可能
          • soft:達到此設定值時,降低優先使用壦
          • hard:達到此設定值時,強制停止
        • item:可以是以下選項
          • core:可使用最大的核心檔案
          • data:可使用最大的資料區段
          • fsize:可建立最大的檔案大小
          • memlock:可鎖定的最大記記憶體
          • nofile:最多可同時開啟的檔案
          • rss:最大的常駐程式
          • stack:最多可做stack的大小
          • cpu:最大可以使用的CPU時間
          • nproc:最多可執行的process
          • as:同時間可開啟的file descriptors
          • maxlogins:同時登入的最多數目
          • priority:執行程序的優先權
          • locks:可鎖定的檔案數目
      • 範例:
        • 受限制的使用者,建立一個limited群組
          • @limited hard core 10240
          • ....
        • 一般使用者
          • * hard cord 10240

沒有留言:

張貼留言