Questo è il comando ksu che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici workstation online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS
PROGRAMMA:
NOME
ksu - Superutente Kerberizzato
SINOSSI
KSU [ utente_destinazione ] [ -n nome_principale_destinazione ] [ -c nome_cache_origine ] [ -k ] [ -D ] [
-r tempo ] [ -pf ] [ -l tutta la vita ] [ -z | Z ] [ -q ] [ -e command [argomenti...]] [ -a [
argomenti ... ] ]
REQUISITI
È necessario che sia installata la versione 5 di Kerberos per compilare ksu. Deve avere una versione Kerberos 5
server in esecuzione per utilizzare ksu.
DESCRIZIONE
ksu è una versione Kerberizzata del programma su che ha due missioni: una è garantire la sicurezza
cambiare l'ID utente reale ed effettivo in quello dell'utente di destinazione e l'altro è farlo
creare un nuovo contesto di sicurezza.
NOTA:
Per ragioni di chiarezza, tutti i riferimenti e gli attributi dell'utente che invoca il file
il programma inizierà con "source" (ad esempio, "source user", "source cache", ecc.).
Allo stesso modo, tutti i riferimenti e gli attributi dell'account di destinazione inizieranno con
"bersaglio".
AUTENTICAZIONE
Per compiere la prima missione, ksu opera in due fasi: autenticazione e
autorizzazione. La risoluzione del nome dell'entità di destinazione è il primo passaggio dell'autenticazione.
L'utente può specificare il proprio nome principale con il -n opzione (ad es. -n
[email protected]) oppure verrà assegnato un nome principale predefinito utilizzando un'euristica descritta
nella sezione OPZIONI (vedi -n opzione). Il nome utente di destinazione deve essere il primo argomento
a ksu; se non specificato root è l'impostazione predefinita. Se . è specificato, lo farà l'utente di destinazione
essere l'utente di origine (ad es. KSU .). Se l'utente di origine è root o l'utente di destinazione è il
utente di origine, non avviene alcuna autenticazione o autorizzazione. Altrimenti, ksu cerca un
ticket Kerberos appropriato nella cache di origine.
Il ticket può essere per il server finale o un ticket di concessione ticket (TGT) per
regno del principale bersaglio. Se il ticket per il server finale è già nella cache, lo è
decifrato e verificato. Se non è nella cache ma il TGT sì, il TGT è abituato
ottenere il ticket per il server finale. Il ticket del server finale viene quindi verificato. Se nessuno dei due
ticket è nella cache, ma ksu è compilato con il file GET_TGT_VIA_PASSWD definire, l'utente
verrà richiesta una password Kerberos che verrà quindi utilizzata per ottenere un TGT. Se la
l'utente ha effettuato l'accesso da remoto e non dispone di un canale sicuro, la password potrebbe esserlo
esposto. Se nessuno dei due biglietti è nella cache e GET_TGT_VIA_PASSWD non è definito,
l'autenticazione fallisce.
AUTORIZZAZIONE
Questa sezione descrive l'autorizzazione dell'utente di origine quando ksu viene richiamato senza il -e
opzione. Per una descrizione del -e opzione, vedere la sezione OPZIONI.
Una volta completata l'autenticazione, ksu controlla se l'entità di destinazione è autorizzata a farlo
accedere all'account di destinazione. Nella directory home dell'utente di destinazione, ksu tenta di accedere
due file di autorizzazione: .k5login(5) e .k5users. Nel file .k5login ogni riga
contiene il nome di un'entità autorizzata ad accedere all'account.
Per esempio:
[email protected]
jqpublic/[email protected]
jqpublic/[email protected]
Il formato di .k5users è lo stesso, tranne che il nome principale può essere seguito da un elenco di
comandi che il principale è autorizzato a eseguire (vedere il -e opzione nelle OPZIONI
sezione per i dettagli).
Pertanto, se il nome dell'entità di destinazione si trova nel file .k5login, lo è l'utente di origine
autorizzato ad accedere all'account di destinazione. Altrimenti ksu cerca nel file .k5users. Se
il nome principale di destinazione viene trovato senza comandi finali o seguito solo da *
quindi l'utente di origine è autorizzato. Se esiste .k5login o .k5users ma esiste un file
non esiste la voce appropriata per l'entità di destinazione, l'accesso viene negato. Se
nessuno dei due file esiste, all'entità verrà concesso l'accesso all'account in base a
le regole di mappatura aname->lname. In caso contrario, l'autorizzazione fallisce.
ESECUZIONE OF LA TARGET SHELL
Dopo l'autenticazione e l'autorizzazione con successo, ksu procede in modo simile a su.
L'ambiente non è modificato ad eccezione delle variabili USER, HOME e SHELL. Se
l'utente di destinazione non è root, USER viene impostato sul nome utente di destinazione. Altrimenti UTENTE
Rimane invariato. Sia HOME che SHELL sono impostati sui valori predefiniti dell'accesso di destinazione. In
Inoltre, la variabile d'ambiente KRB5CCNOME viene impostato sul nome della cache di destinazione.
L'ID utente reale ed effettivo viene modificato in quello dell'utente di destinazione. Quello dell'utente target
viene quindi invocata la shell (il nome della shell è specificato nel file delle password). Su
terminazione della shell, ksu elimina la cache di destinazione (a meno che ksu non venga invocato con il comando -k
opzione). Questo viene implementato eseguendo prima un fork e poi un exec, invece di just
exec, come fatto da su.
CREARE A NUOVA SICUREZZA CONTESTO
ksu può essere utilizzato per creare un nuovo contesto di sicurezza per il programma di destinazione (o target
shell o comando specificato tramite -e opzione). Il programma di destinazione eredita una serie di
credenziali dell'utente di origine. Per impostazione predefinita, questo set include tutte le credenziali in
la cache di origine più eventuali credenziali aggiuntive ottenute durante l'autenticazione. IL
l'utente di origine è in grado di limitare le credenziali in questo set utilizzando -z or -Z opzione. -z
limita la copia dei ticket dalla cache di origine alla cache di destinazione solo al file
ticket dove client == il nome dell'entità di destinazione. IL -Z l'opzione fornisce l'utente di destinazione
con una nuova cache di destinazione (nessun credito nella cache). Tieni presente che per motivi di sicurezza, quando
l'utente di origine è root e l'utente di destinazione non è root, -z L'opzione è la modalità predefinita di
funzionamento.
Mentre non avviene alcuna autenticazione se l'utente di origine è root o è lo stesso di
utente di destinazione, è ancora possibile ottenere ticket aggiuntivi per la cache di destinazione. Se -n is
specificato e nessuna credenziale può essere copiata nella cache di destinazione, lo è l'utente di origine
richiesta una password Kerberos (a meno che -Z specificato o GET_TGT_VIA_PASSWD non è definito).
In caso di successo, un TGT viene ottenuto dal server Kerberos e archiviato nella cache di destinazione.
Altrimenti, se non viene fornita una password (l'utente preme Invio), ksu continua in modalità normale
dell'operazione (la cache di destinazione non conterrà il TGT desiderato). Se la password sbagliata
viene digitato, ksu fallisce.
NOTA:
In fase di autenticazione verranno selezionati solo i biglietti che è stato possibile ottenere senza fornire un
le password vengono memorizzate nella cache di origine.
VERSIONI
-n nome_principale_destinazione
Specificare un nome principale di destinazione Kerberos. Utilizzato nell'autenticazione e nell'autorizzazione
fasi di ksu.
Se ksu viene invocato senza -n, viene assegnato un nome principale predefinito tramite il file
seguente euristica:
· Caso 1: l'utente di origine non è root.
Se l'utente di destinazione è l'utente di origine, il nome principale predefinito è impostato su
entità predefinita della cache di origine. Se la cache non esiste, allora il file
il nome principale predefinito è impostato su utente_destinazione@real_local. Se la fonte e
gli utenti target sono diversi e nessuno dei due ~utente_destinazione/.k5users né
~utente_destinazione/.k5login esiste, il nome principale predefinito sarà
target_user_login_name@local_realm. Altrimenti, a partire dal primo principale
elencato di seguito, ksu controlla se l'entità è autorizzata ad accedere alla destinazione
account e se esiste un ticket legittimo per tale entità nell'origine
cache. Se entrambe le condizioni vengono soddisfatte, il capitale diventa l'obiettivo predefinito
principale, altrimenti passa al principale successivo.
UN. entità predefinita della cache di origine
B. utente_destinazione@real_local
C. utente_origine@real_local
Se a-c fallisce, provare qualsiasi entità per la quale è presente un ticket nella cache di origine
e che è autorizzato ad accedere all'account di destinazione. Se il problema persiste, seleziona il
primo principale autorizzato ad accedere all'account di destinazione da quanto sopra
elenco. Se nessuno è autorizzato e ksu è configurato con PRINC_LOOK_AHEAD girato
on, selezionare l'entità predefinita come segue:
Per ciascun candidato nell'elenco precedente, selezionare un principale autorizzato in possesso di
stesso nome del reame e prima parte del nome principale uguale al prefisso del
candidato. Ad esempio, se il candidato a) lo è [email protected] ed
jqpublic/[email protected] è autorizzato ad accedere all'account di destinazione, quindi il
l'entità predefinita è impostata su jqpublic/[email protected].
· Caso 2: l'utente di origine è root.
Se l'utente di destinazione non è root, il nome principale predefinito sarà
utente_destinazione@real_local. Altrimenti, se la cache di origine esiste, l'entità predefinita
name è impostato sull'entità predefinita della cache di origine. Se la cache di origine
non esiste, il nome principale predefinito è impostato su root\@local_realm.
-c nome_cache_origine
Specificare il nome della cache di origine (ad esempio, -c FILE:/tmp/mia_cache). Se -c l'opzione non viene utilizzata in quel caso
il nome è ottenuto da KRB5CCNOME variabile d'ambiente. Se KRB5CCNOME non è
definito su cui è impostato il nome della cache di origine krb5cc_<fonte uid>. Il nome della cache di destinazione è
impostato automaticamente su krb5cc_<obiettivo uid>.(gen_sym()), dove gen_sym genera un nuovo file
numero tale che la cache risultante non esista già. Per esempio:
krb5cc_1984.2
-k Non eliminare la cache di destinazione al termine della shell di destinazione o di un comando
(-e comando). Senza -k, ksu elimina la cache di destinazione.
-D Attiva la modalità di debug.
-z Limita la copia dei ticket dalla cache di origine alla cache di destinazione solo al file
ticket dove client == il nome dell'entità di destinazione. Usa il -n opzione se vuoi
i ticket per entità diverse da quella predefinita. Si noti che il -z opzione è
mutuamente esclusivi con il -Z opzione.
-Z Non copiare alcun ticket dalla cache di origine alla cache di destinazione. Basta creare un file
nuova cache di destinazione, in cui viene inizializzato il nome principale predefinito della cache
il nome dell'entità di destinazione. Si noti che il -Z l'opzione si esclude a vicenda con il
-z opzione.
-q Elimina la stampa dei messaggi di stato.
Opzioni di concessione del biglietto:
-l tutta la vita -r tempo -pf
Le opzioni di concessione del biglietto si applicano solo nel caso in cui non siano presenti
ticket appropriati nella cache per autenticare l'utente di origine. In questo caso se
ksu è configurato per richiedere agli utenti una password Kerberos (GET_TGT_VIA_PASSWD is
definito), le opzioni del ticket di concessione del ticket specificate verranno utilizzate quando
ottenere un ticket di concessione ticket dal server Kerberos.
-l tutta la vita
(durata string.) Specifica la durata da richiedere per il ticket; se questo
l'opzione non è specificata, viene invece utilizzata la durata predefinita del ticket (12 ore).
-r tempo
(durata string.) Specifica che il rinnovabile l'opzione dovrebbe essere richiesta per il
ticket e specifica la durata totale desiderata del ticket.
-p specifica che il prossimale l'opzione deve essere richiesta per il biglietto.
-f opzione specifica che il inoltrabile l'opzione deve essere richiesta per il biglietto.
-e command [args ...]
ksu procede esattamente come se fosse invocato senza il -e opzione, tranne
invece di eseguire la shell di destinazione, ksu esegue il comando specificato. Esempio
di utilizzo:
ksu bob -e ls -lag
L'algoritmo di autorizzazione per -e è il seguente:
Se l'utente di origine è root o utente di origine == utente di destinazione, non viene richiesta alcuna autorizzazione
place e il comando viene eseguito. Se l'ID utente di origine! = 0 e
~utente_destinazione/.k5users il file non esiste, l'autorizzazione fallisce. Altrimenti,
~utente_destinazione/.k5users il file deve avere una voce appropriata per l'entità di destinazione
ottenere l'autorizzazione.
Il formato file .k5users:
Una singola voce principale su ogni riga che può essere seguita da un elenco di comandi
che il mandante è autorizzato ad eseguire. Un nome principale seguito da a *
significa che l'utente è autorizzato a eseguire qualsiasi comando. Così, nel seguito
esempio:
[email protected] ls mail /local/kerberos/klist
jqpublic/[email protected] *
jqpublic/[email protected]
[email protected] è autorizzato solo ad eseguire ls, mail ed clist comandi.
jqpublic/[email protected] è autorizzato a eseguire qualsiasi comando.
jqpublic/[email protected] non è autorizzato ad eseguire alcun comando. Notare che
jqpublic/[email protected] è autorizzato a eseguire la shell di destinazione (ksu normale,
senza il -e opzione) ma [email protected] non è.
I comandi elencati dopo il nome principale devono essere nomi di percorso completo oppure
solo il nome del programma. Nel secondo caso, CMD_PATH specificando la posizione di
i programmi autorizzati devono essere definiti al momento della compilazione di ksu. Quale comando
viene giustiziato?
Se l'utente di origine è root o l'utente di destinazione è l'utente di origine o l'utente lo è
autorizzato a eseguire qualsiasi comando (* voce) allora il comando può essere completo o a
percorso relativo che porta al programma di destinazione. Altrimenti l'utente dovrà specificarlo
un percorso completo o solo il nome del programma.
-a args
Specifica gli argomenti da passare alla shell di destinazione. Si noti che tutte le bandiere e
i parametri che seguono -a verranno passati alla shell, quindi tutte le opzioni previste
ksu deve precedere -a.
I -a l'opzione può essere utilizzata per simulare il file -e opzione se utilizzata come segue:
-a -c [comando [argomenti]].
-c viene interpretato dalla c-shell per eseguire il comando.
MONTAGGIO ISTRUZIONI
ksu può essere compilato con i seguenti quattro flag:
GET_TGT_VIA_PASSWD
Nel caso in cui non vengano trovati ticket appropriati nella cache di origine, l'utente lo sarà
ha richiesto una password Kerberos. La password viene quindi utilizzata per ottenere un biglietto
concessione del ticket dal server Kerberos. Il pericolo di configurare ksu con questo
macro è se l'utente di origine ha effettuato l'accesso in remoto e non dispone di un file sicuro
canale, la password potrebbe essere scoperta.
PRINC_LOOK_AHEAD
Durante la risoluzione del nome principale predefinito, PRINC_LOOK_AHEAD abilita ksu
per trovare i nomi principali nel file .k5users come descritto nella sezione OPZIONI
(Vedi -n opzione).
CMD_PATH
Specifica un elenco di directory contenenti programmi a cui gli utenti sono autorizzati
eseguire (tramite file .k5users).
HAVE_GETUSERSHELL
Se l'utente di origine non è root, ksu insiste affinché lo sia la shell dell'utente di destinazione
invocato è un "involucro giuridico". getusershell(3) è chiamato a ottenere i nomi di
"gusci legali". Tieni presente che la shell dell'utente di destinazione viene ottenuta dalla passwd
file.
Configurazione di esempio:
KSU_OPTS = -DGET_TGT_VIA_PASSWD -DPRINC_LOOK_AHEAD -DCMD_PATH='"/bidone /usr/ucb /local/bin"
ksu dovrebbe essere di proprietà di root e avere il bit set user id attivato.
ksu tenta di ottenere un ticket per il server finale proprio come telnet e rlogin kerberizzati.
Pertanto nel database Kerberos deve essere presente una voce per il server (ad es.
ospite/[email protected]). Il file keytab deve trovarsi in una posizione appropriata.
LATO EFFETTI
ksu elimina tutti i ticket scaduti dalla cache di origine.
AUTORE OF KSU
GENNADY (ARI) MEDVINSKY
Utilizza ksu online utilizzando i servizi onworks.net
