Брандмауэры и специальное программное обеспечение



Pdf просмотр
страница5/42
Дата15.02.2017
Размер6.16 Mb.
Просмотров1422
Скачиваний0
ТипАнализ
1   2   3   4   5   6   7   8   9   ...   42
Некоторые примеры
Теперь, когда вы имеете некоторое представление о возможностях модулей РАМ, давайте вновь обратимся к листингу 1.6. В первой его строке, имеющей тип auth, стоит вызов модуля securetty с флагом required. Стало быть, войти в систему как суперпользователь можно лишь с терминалов, перечисленных в
файле /etc/securetty. Второй строкой проверяется пароль пользователя. Результат выполнения третьей строки определяется наличием файла /etc/nologin. Если такой файл не существует, возвращается значение
УСПЕХ (SUCCESS). Четвертая строка закомментирована и потому игнорируется, но если удалить символ комментария, то будет включен механизм проверки удаленного доступа с использованием авторизации и паролей, управляемый файлами tty.dialup и passwd.dialup из каталога /etc/security. Последняя строка типа auth помечена флагом optional, однако она может понадобиться, если кто-то использует систему только для электронной почты.
Строка типа account проверяет, не устарел ли пароль пользователя.
Две строки типа session весьма стандартны. В первой строке модуль pwdb проверяет, может ли пользователь воспользоваться службой. Модуль второй строки, заносящий запись в файл lastlog, помечен флагом optional, поскольку пользователь должен получить возможность войти в систему даже в том случае, если файл lastlog не доступен на запись. Таким образом, в результате выполнения модуля lastlog вне зависимости от того, какое из трех значений — УСПЕХ (SUCCESS), НЕУДАЧА (FAILURE) или
ИГНОРИРОВАТЬ (IGNORE) - получено, пользователь все равно сможет войти в систему.
Строка типа password помечена как required и предназначена для обновления маркеров авторизации в случае, если необходима смена пароля.
Некоторые файлы из /etc/pam.d весьма просты. В файле chfn, например, используется всего один модуль — pam_pwdb.so, помеченный как required для типов auth, account и passwd. Точно так же выглядит и файл для chsh. Файлы для служб электронной почты imap и pop чуть сложнее: в них модуль pwdb используется и для типа session, и еще вызывается модуль nologin для типа auth. Возможно, это не самая лучшая идея, но запись nullok разрешает использование «пустых» паролей.
Файлы остальных служб уже должны быть в принципе понятны, но пару-тройку из них, тем не менее, стоит прокомментировать. Во-первых, взглянем на файл службы ftp. В первой его строке используется модуль listfile. Смысл этой записи в том, чтобы посмотреть, есть ли имя данного пользователя в файле /etc/ftpusers, и если есть, отказать ему в доступе к ftp (в данном случае гораздо легче сказать, кто не может пользоваться ftp, чем перечислять всех, кто может). Если файл не существует или запись в него разрешается для всех пользователей, считается, что пользователь найден не был.
Теперь перейдем к файлу для rlogin. Первая строка проверяет, является ли безопасным терминал, с которого суперпользователь входит в систему (мы не хотим передавать пароль суперпользователя открытым текстом по сети, которой мы не доверяем). Поэтому проверьте, что у вас прописано в файле
/etc/securetty. Согласно следующей строке наличия файлов /etc/hosts.equiv или
/rhosts достаточно для предоставления доступа. Если же эти файлы не существуют, то доступ будет предоставлен лишь в случае успешного выполнения всех оставшихся модулей. Заметьте, строка, содержащая вызов модуля cracklib.so, закомментирована, поэтому, возможно, имеет смысл активизировать ее, чтобы пользователи не могли использовать небезопасные пароли.
Последний файл, на который стоит обратить внимание, это файл для службы su. Вот его первая строка:
auth sufficient pam_rootok.so
Эта строка позволяет суперпользователю становиться любым пользователем при помощи команды su без ввода пароля — свойство, которое вы уже, наверное, заметили, работая с системой.
Как видите, использование модулей и наличие возможности накопления их позволяет задавать авторизацию практически любой сложности. Если вы решите отредактировать какие-либо файлы из каталога /etc/pam.d в соответствии с собственными предпочтениями, то мне остается лишь посоветовать вам не лениться и всегда тестировать результаты изменений на нескольких сценариях, позволяющих проверить, что все работает точно так, как и было задумано, и никому лишнему доступ не предоставляется.
Тестируйте как случай, когда авторизация должна проходить успешно, так и случай, когда подключающийся пользователь должен получить отказ. И не забудьте проверить суперпользователя, как истинного, так и лишь выдающего себя за такового.
Записи РАМ в файлах журналов
Результаты авторизации служб с ограничением доступа протоколируются демоном syslogd, который помещает все сообщения от РАМ в файл /var/log/secure (листинг 1.9).
Листинг 1.9. Содержимое /var/log/secure
Jan 11 16:45:14 chiriqui PAM_pwdb[30022]: (su) session opened for user root by david(uid=0)
Jan 11 16:45:25 chiriqui PAM_pwdb[30022]: (su) session closed for user root
Jan 11 17:18:06 chiriqui login[13217]: FAILED LOGIN 1 FROM (null) FOR david,
Authentication failure

Jan 11 17:18:13 chiriqui login[13217]: FAILED LOGIN 2 FROM (null) FOR david.
Authentication failure
Jan 11 17:18:17 chiriqui PAM_pwdb[13217]: (login) session opened for user david by (uid=0)
Jan 11 17:18:06 chiriqui login[13217]: FAILED LOGIN 1 FROM (null) FOR david.
Authentication failure
Jan 11 17:18:13 chiriqui login[13217]: FAILED LOGIN 2 FROM (null) FOR david,
Authentication failure
Jan 11 17:18:17 chiriqui PAM_pwdb[13217]: (login) session opened for user david by (uid=0)
Jan 11 17:18:17 chiriqui -- david[13217]: LOGIN ON ttyl BY david
Jan 11 17:18:20 chiriqui PAM_pwdb[13217]: (login) session closed for user david
Каждая запись начинается с даты, времени и имени узла. После чего следует имя модуля РАМ и идентификатор процесса, заключенный в квадратные скобки. Затем, в круглых скобках, идет имя службы с ограничением доступа. Для листинга 1.9 это либо su, либо login. После имени службы следует либо «session opened» (сеанс открыт), либо «session closed» (сеанс закрыт).
Запись, следующая непосредственно за записью с «session opened», является сообщением о входе в систему, из которого можно узнать, кто и откуда вошел в систему. Если после нескольких попыток вы так и смогли войти в систему, имеет смысл обратиться к файлу /var/log/secure и посмотреть, отчего и на каком этапе вход в систему заканчивается неудачей.
Заключение
В этой главе рассказывалось о пользователях и процедуре входа в систему. Из данной главы вы узнали о том, каким образом система обрабатывает файл /etc/passwd, как этот файл использовался в прошлом и как он используется сейчас. Также вы узнали о назначении файла /etc/shadow, который является более защищенным аналогом файла /etc/passwd. Кроме того, речь шла и о файле /etc/group.
Затем мы рассмотрели файл /etc/login.defs и его связь со значениями по умолчанию, используемыми программой useradd при добавлении нового пользователя в систему.
Завершилась же глава рассказом о системе безопасности РАМ. Мы рассмотрели принципы ее работы, используемые ею файлы, такие как /etc/securetty, /etc/ shells, и файлы из /etc/security/, а также какие модули
РАМ имеются в системе и как их можно использовать для управления доступом к службам.
В следующей главе тема групп будет рассмотрена более подробно, с позиций взаимодействия пользователей, групп и файлов. Из данной главы вы узнали, что в операционной системе Linux существуют группы, а вот для чего они нужны, объясняется в следующей главе.

Безопасность уровня
пользователей и групп
2
В данной главе рассматриваются следующие вопросы:
- что такое пользовательская группа по умолчанию и частные пользовательские группы;
- изменение пользователя/группы;
- как изменение пользователя/группы влияет на графический интерфейс;
- безопасность и пользователи;
- безопасность и пароли;
- защита паролей;
- выбор хорошего пароля;
- взлом паролей.
Управлять пользователями можно лишь одним единственным способом: каждому из них назначается уникальное имя. А вот механизм групп позволяет вам выбрать одну из двух различных схем. К выбору схемы следует подходить обдуманно, поскольку желательно единожды определиться с используемой схемой и более не менять ее (особенно если вы администрируете систему с большим количеством пользователей). Схемы эти таковы: группа по умолчанию и частные группы пользователей. Как можно предположить, у каждой из них имеются свои достоинства и недостатки.
Группа по умолчанию
Исторически, во всех разновидностях Unix, равно как и в других операционных системах, напоминающих Unix (включая Linux), использовалась схема, в рамках которой любые вновь создаваемые новые пользователи системы по умолчанию становились членами одной группы. При создании учетной
записи администратор мог специально изменить членство в группе, однако так редко кто поступал.
Причина была в том, что в старых системах пользователь не мог принадлежать к нескольким группам одновременно. Любой пользователь мог быть членом только одной группы. Поэтому все созданные пользователи попадали в группу по умолчанию, достаточно безопасную для того, чтобы ее членом мог быть кто угодно. Пользователям, которым надо было стать членом другой группы (например, если несколько пользователей работают над одним проектом и должны обладать доступом к одним и тем же данным), приходилось прибегать к команде newgrp. Эта команда позволяет пользователю покинуть свою старую группу и присоединиться к новой (разумеется при условии, что у этого пользователя есть право на присоединение к новой группе).
В настоящее время ограничения на одновременную принадлежность пользователя лишь к одной группе более не существует. Любой пользователь может принадлежать одновременно к нескольким группам. Вы можете сделать пользователя членом любого удобного для вас количества групп. Очевидно, теперь операционные системы устроены более гибко. В OpenLinux, независимо от того, используете ли вы группу по умолчанию или частные группы пользователей (о которых рассказывается далее), пользователи могут быть членами произвольного числа групп. По команде newgrp пользователь становится членом указанной в команде группы, при этом данная группа становится для данного пользователя группой входа в
систему (login group). Имейте в виду, что при этом пользователь продолжает оставаться членом тех групп, в которые он входил до выполнения команды newgrp. Группа входа в систему является группой, которая
(если атрибуты каталога не предписывают ничего другого) становится групповым владельцем файлов, создаваемых пользователем.
ССЫЛКА
Про атрибуты каталога подробнее рассказывается в главе 4,
Различие между группой по умолчанию и частными группами пользователей заключается в степени открытости этих двух схем. В случае схемы с группой по умолчанию любой пользователь может читать (а
часто и изменять) файлы другого пользователя. С частными же группами чтение или запись файла, созданного другим пользователем, возможны лишь если его владелец явно предоставил права на эти операции остальным пользователям.
Если требуется, чтобы пользователи могли присоединяться и покидать группу без вмешательства системного администратора, то этой группе можно назначить пароль. Как говорилось ранее, пользователь может пользоваться привилегиями определенной группы только в случае, если он принадлежит к ней.
Здесь есть два варианта: либо он принадлежит к группе с момента входа в систему, либо он становится членом группы впоследствии, уже после того, как он начал работу с системой. Чтобы пользователь мог присоединиться к группе, к которой он не принадлежит, этой группе должен быть назначен пароль
(желательно теневой).
По умолчанию в OpenLinux групповые пароли не используются, поэтому файла gshadow в каталоге
/etc нет. О том, как активизировать этот механизм, рассказывается в главе 1.
В случае с OpenLinux тип используемой схемы зависит от программы, которую вы используете для создания новых пользователей. Программы useradd и LISA используют схему с группой по умолчанию.
Средство администрирования COAS работает с частными группами пользователей. Безусловно, поведение по умолчанию любой из этих программ можно изменить. Более того, если вы не сделаете этого и в дальнейшем для создания новых пользователей будете использовать все три программы, в вашей системе будет использоваться помесь из двух схем, а это плохая практика. Чтобы избежать этого, следует либо изменить файл /etc/ login.defs, либо перенастроить COAS. Если вы не хотите чего-либо перенастраивать, то для создания новых пользователей можно пользоваться исключительно одной из трех программ. Когда требуется изменить поведение этой программы по умолчанию, это можно сделать из командной строки, кроме того, вы можете сначала создать нового пользователя, а затем привести его параметры в соответствие с той или иной схемой. Однако чем меньше времени уходит у вас на тривиальные административные задачи, тем больше его остается на вопросы безопасности.
СОВЕТ -
Если для выполнения рутинных задач администрирования пользователей вы постоянно используете только одну из
программ — useradd, LISA или COAS, — файлы настроек пользователей получаются более согласованными и более
легкими в сопровождении.
Преимущество схемы с группой по умолчанию заключается в том, что она облегчает совместное использование файлов, так как при ее использовании не нужно заботиться о правах доступа к ним. Эта схема подразумевает открытый подход к системе по принципу «разрешено все, что не запрещено».
ССЫЛКА
Главы 3 и 4 содержат более подробную информацию о владельцах файлов и их связи с правами на чтение и изменение
файлов.
Для пользователей понятней, а значит, в чем-то удобней, схема с группой по умолчанию, однако для больших систем, где нельзя одинаково доверять всем пользователям, предпочтительней использовать частные группы пользователей. Открытый подход упрощает не только совместное использование файлов, но и их порчу или удаление. Поэтому если пользователей много, имеет смысл оградить их от неосторожных действий друг друга. В OpenLinux группа по умолчанию называется users.
СОВЕТ
Настройка параметров пользователей по умолчанию — это высокоприоритетная задача, которую следует
выполнить сразу же после того, как вы установите систему.
Частные группы пользователей
Частные группы пользователей обладают именами, совпадающими с именами пользователей.
Частная группа делается группой входа в систему, поэтому по умолчанию, то есть если атрибуты каталога не предписывают ничего другого, она назначается в качестве группы-владельца всех файлов данного пользователя. Таким образом, пользователю david ставится в соответствие группа david, которая назначается группой-владельцем всех файлов этого пользователя.
Преимущество частных групп пользователя состоит в том, что пользователям не нужно думать об ограничении доступа к своим файлам: по умолчанию доступ к пользовательским файлам с самого момента их создания будет ограничен. В OpenLinux, при использовании частных групп пользователь может читать
или изменять только принадлежащие ему файлы. Кроме того, создавать файлы он может только в своем домашнем каталоге. Данное поведение по умолчанию может быть изменено системным администратором или пользователем, причем как на уровне отдельного файла, так и на уровне каталога.
Заметим здесь, что по умолчанию переменная umask, которая определяет режим доступа к создаваемому файлу, настроена таким образом, что чтение-запись файла разрешается как владельцу этого файла, так и группе, которой принадлежит файл.
ССЫЛКА
Подробное обсуждение umask можно найти в главе 3.
Если вы используете схему частных групп пользователей, это никак не влияет на поведение базового механизма членства в группах. Если пользователь является членом одновременно нескольких групп, значит, ему доступны файлы, принадлежащие к любой из этих групп. Как это работает, станет ясно из следующих двух глав.
СОВЕТ
Если в вашем ведении находится несколько систем, имеет смысл сделать одну из них основной и скопировать с нее
/etc/passwd, /etc/shadow, /etc/groups, /etc/gshadow на остальные системы.
Изменение пользователя/группы
Есть несколько команд, при помощи которых пользователь может управлять своим именем и/или группой, к которой он принадлежит, или именем или группой, от лица которых выполняется программа.
Одна из таких программ уже упоминалась ранее. Это newgrp.
Как уже говорилось, команда newgrp может быть выполнена любым пользователем. Она позволяет ему присоединиться к группе, к которой он доселе не принадлежал, но только если этой группе назначен пароль. Данная команда не позволит вам присоединиться к группе без пароля, если вы не являетесь членом этой группы.
Однако команду newgrp можно использовать в отношении группы, членом которой вы уже являетесь.
В этом случае newgrp делает указанную группу группой входа в систему. Группы пользователя подразделяются на два типа: группа входа в систему и все остальные группы, к которым принадлежит этот пользователь. Пользователь может принадлежать к нескольким группам, однако группой-владельцем файлов, создаваемых пользователем, всегда будет назначаться группа входа в систему этого пользователя.

ССЫЛКА
В главе 4 рассказывается о том, как можно изменить такое поведение для какого-либо каталога.
Помимо newgrp для управления принадлежностью файла тому или иному пользователю или группе можно использовать также команды chown и chgrp. Предпочтительней, тем не менее, использовать именно newgrp, так как при использовании команд chown и chgrp легче допустить ошибку. Предположим, например, что пользователь silvia намеревается создать несколько файлов типа GIF. Группой входа в систему для нее является группа silvia, однако созданные ею файлы должны быть доступны не только ей, но и другим членам группы gifs (но больше никому). Если пользователь silvia окажется забывчивой и не выполнит команду newgrp, ей придется явно менять владельца созданных ею файлов командами chown или chgrp. Выполнение их для каждого файла по отдельности чревато пропуском одного или нескольких файлов. Проблему можно решить, использовав шаблон имени файла (*.gif), однако помимо созданных только что в каталоге могут находиться и другие файлы GIF, которые silvia ранее преднамеренно сделала недоступными для остальных пользователей. Для запуска программы, создающей файлы GIF, silvia может воспользоваться командой sg. Команда sg на самом деле представляет собой символическую ссылку, указывающую на newgrp. Будучи вызвана как sg, она делает пользователя членом новой для него группы не перманентно, а лишь на время выполнения указанной программы. Свое название команда получила от словосочетания «substitute group» (подстановка группы). С эквивалентом этой команды, применяемым в отношении имени пользователя, мы познакомимся в следующем разделе.
Если вашей группой входа в систему является группа readers, а помимо этой группы вы также принадлежите к группе users, то по умолчанию выполнение программ и сохранение файлов будет происходить в контексте группы readers. Чтобы файлам, создаваемым программой xv, в качестве владельца назначалась группа users, можно запустить с использованием команды sg. Например, чтобы файлам, созданным в программе xv, в качестве владельца назначалась группа users, запустите эту программу
следующим образом:
sg - users -с xv
При наличии у запускаемой программы параметров команда запуска этой программы заключается в кавычки:
sg - users -с "xv my.gif"
Заметьте также, что при работе в среде X Window нужно разрешить этой группе использование дисплея с помощью команды xhost.
Область действия команды newgrp в среде X Window ограничивается программой xterm, в которой она была выполнена: в контексте новой группы будут выполняться лишь программы, запущенные через этот терминал, а значит, пользователь не может изменять с ее помощью группу входа в систему для программ, запущенных посредством диспетчера окон. Программу, которую всегда нужно выполнять в контексте вторичной группы, можно запускать через сценарий, устанавливающий для нее требуемую группу входа в систему.
Далее про X
Система X Window всегда привносит в жизнь пользователей дополнительные трудности. В данном случае трудности эти не связаны напрямую с X, а следуют из логики работы /etc/groups и /etc/gshadow. Тем, кто не использует теневые пароли для групп, беспокоиться особенно не о чем. В случае с X установить группу, защищенную паролем, из простого сценария не получится, однако для вторичных групп пользователя, не требующих ввода пароля, смена группы осуществляется предельно просто. Достаточно следующего сценария:
#!/bin/bash sg - gifs -с /usr/X11R6/bin/xv &
В результате запуска этого сценария будет запущена программа xv, первичной группой которой будет сделана группа gifs. Что и требовалось получить.
Труднее тем, кто использует теневые групповые пароли, поскольку в этом случае при выполнении данного сценария на экране появится сообщение об ошибке. Когда в файле /etc/groups перечислены входящие в группу пользователи, любой из них автоматически считается ее членом непосредственно после входа в систему. Однако в случае теневых паролей список пользователей группы перемещен в файл
/etc/gshadow, так что вошедший в систему пользователь не зачисляется автоматом в ее члены, но может присоединяться к ней посредством команды newgrp или же выполнять от ее имени какую-либо программу при помощи команды sg. Проблема в том, что с точки зрения X данный пользователь (который не обязательно является пользователем, инициировавшим рабочий сеанс X) не имеет права на установку соединения. Поэтому для незащищенных паролем групп приведенный ранее сценарий изменяется следующим образом:
#!/bin/bash xhosts +lосаlhost sg - gifs -c /usr/X11R6/bin/xv &
Добавленная строка позволяет получать доступ к экрану новой группе (gifs). Для большинства рабочих станций это не должно привести к каким-либо существенным проблемам с безопасностью, поскольку данная строка всего лишь разрешает доступ к экрану пользователям локального узла (для получения дополнительной информации об X и xhost обратитесь к хорошему руководству системного администратора Linux).
ПРИМЕЧАНИЕ
Использование Х-сервера (в особенности совместо с xdm или kdm) влечет за собой целый ряд своих тонкостей, еще
более усугубляемых графическими приложениями, поскольку их можно запускать не только через командную строку,
но и при помощи значка на графическом рабочем столе.
Изменение пользователя
Одна из прописных истин системного администрирования гласит: никогда не входите в систему как суперпользователь без абсолютной на то необходимости. Почему? Потому что большую часть задач можно решить на уровне привилегий обычного пользователя. Если же вы намерены выполнить некоторое действие, которое можно выполнить только на уровне привилегий root, вы можете превратиться в пользователя root лишь на время. Выполнив ту или иную привилегированную процедуру, вы можете снова
стать обычным пользователем.
ПРИМЕЧАНИЕ
Обычный пользователь не в силах нанести системе столько вреда, сколько может сделать неосторожный
суперпользователь. Последствия вашей опечатки как суперпользователя могут быть весьма фатальными, вплоть до
того, что всем вашим системным файлам (а то и вообще всем файлам, хранящимся в системе) можно будет
сказать «прощай». В некоторых компаниях после этого могут сказать «прощай» и вам.
Превращением одного пользователя в другого занимается команда su. Свое название команда получила от «substitute user» (подстановка пользователя), но так как чаще всего она используется, чтобы стать суперпользователем, некоторые считают, будто ее название расшифровывается как «super user»
(суперпользователь). Для эффективного использования этой команды вам следует кое-что знать об особенностях ее работы.
Команда su, вызванная без аргументов, запросит у вас пароль, после чего (получив в ответ правильный пароль, разумеется) сделает вас пользователем root. Данная команда является службой с ограничением доступа, поэтому все аспекты ее безопасности можно настроить через файл /etc/pam.d/su.
При желании вы можете сделать так, что некоторые избранные пользователи смогут стать пользователем root, не зная при этом пароля root, однако это очень рискованная идея.
ССЫЛКА
Про внутреннее устройство файла /etc/pam.d/su рассказывается в галве 1.
Вызов команды su без аргументов равносилен ее вызову с аргументом root Вообще говоря, чтобы стать каким-либо пользователем с помощью команды su, следует указать его имя в качестве аргумента
(причем если вы суперпользователь, чтобы стать другим пользователем, вы не обязаны будете указывать пароль этого пользователя). Это чрезвычайно удобный способ решения проблем, связанных с подключением пользователей. В этом случае, скорее всего, следует поставить дефис (-) между su и именем пользователя. Наличие дефиса говорит команде, что смена пользователя должна осуществляться по полной программе, как если бы вы входили в систему под именем этого пользователя, то есть со сменой пользовательского окружения. Без указания дефиса в результате выполнения su вы станете другим пользователем, но окружение останется вашим изначальным. В частности, значение переменной PATH останется прежним и не будет заменено на значение PATH пользователя, которым вы стали. Думается, такое поведение не слишком способствует разрешению проблем с учетными записями пользователей.
ПРИМЕЧАНИЕ -
Обращение su без указания имени пользователя (с дефисом или без) трактуется как указание сделать вас
пользователем root.
Но несмотря на все удобство su, пароль суперпользователя должны знать не более шести человек, иначе контроль за ним можно считать утерянным. Но что делать, если вы хотите наделить пользователя полномочиями root и при этом не намерены раскрывать ему пароль суперпользователя? Есть несколько способов. Наиболее правильным считается использование команды sudo. Данная команда позволяет избранным пользователям выполнять некоторые программы на правах суперпользователя, причем у обратившегося к этой команде пользователя запрашивается не пароль суперпользователя, а его собственный пароль. Используется sudo подобно команде sg. Пользователь вводит sudo команда_для_выполнения, затем свой пароль, и если ему это разрешено, указанная команда выполняется в контексте привилегий суперпользователя.
Упомянутое ранее количество пользователей, знающих пароль root, может вызвать недоумение.
Почему именно шесть? Однако попробуйте вспомнить всех тех, кому вы раскрыли пароль суперпользователя за последние шесть месяцев. Скорей всего, на ум придет около шести человек. Кроме того, пароль суперпользователя куда надежней защищен, когда эти пользователи знают, что их всего шесть, чем когда каждому из них известно, что кроме него пароль знают еще 15 человек. И кстати, сколь часто вы готовы менять пароль суперпользователя лишь потому, что кто-то из них вышел из вашего поля зрения? Так что чем меньше, тем лучше.
Конфигурационный файл находится в каталоге /etc и в силу своей очевидности не требует каких- либо пояснений. Способ с sudo хотя и лучший, но не единственный. В качестве альтернативы можно задать выполнение программы в контексте суперпользователя через изменение атрибутов файла. Более подробно об этом рассказывается в главе 4.



Поделитесь с Вашими друзьями:
1   2   3   4   5   6   7   8   9   ...   42


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал