Aceasta este comanda pagsh.openafs care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS
PROGRAM:
NUME
pagsh, pagsh.krb - creează un nou PAG
REZUMAT
pagsh
pagsh.krb
DESCRIERE
pagsh comanda creează un nou shell de comandă (deținut de emitentul comenzii) și
asociază o nouă proces autentificare grup (PAG) cu shell-ul și utilizatorul. Un PAG este
un număr garantat pentru a identifica emitentul comenzilor în noul shell unic pentru
Managerul cache local. PAG este folosit, în locul UID-ului UNIX al emitentului, pentru a identifica
emitent în structura de acreditări pe care Managerul de cache o creează pentru a urmări fiecare utilizator.
Orice jetoane dobândite ulterior (probabil pentru alte celule) devin asociate cu
PAG, mai degrabă decât cu UID-ul UNIX al utilizatorului. Această metodă de a distinge utilizatorii are două
avantaje:
· Înseamnă că procesele generate de utilizator moștenesc PAG-ul și, prin urmare, partajează token-ul; prin urmare
au acces la AFS ca utilizator autentificat. În multe medii, de exemplu,
imprimanta și alți daemoni rulează sub identități (cum ar fi superutilizatorul local „rădăcină”) care
procesele serverului AFS recunosc doar ca „anonim”. Cu excepția cazului în care sunt utilizate PAG-uri, astfel
demonii nu pot accesa fișierele din directoare ale căror liste de control al accesului (ACL-uri) nu o fac
extinde permisiunile la system:anyuser group.
· Închide o posibilă lacună de securitate: UNIX permite oricui s-a conectat deja ca
superutilizatorul local „root” pe o mașină pentru a-și asuma orice altă identitate prin emiterea UNIX su
comanda. Dacă structura de acreditări este identificată printr-un UID UNIX mai degrabă decât un PAG, atunci
superutilizatorul local „rădăcină” poate să asume un UID UNIX și să folosească orice simboluri asociate cu acesta
UID. Utilizarea unui PAG ca identificator elimină această posibilitate.
Cele (în cea mai mare parte învechite) pagsh.krb comanda este aceeași cu pagsh cu excepția faptului că stabilește și
Variabila de mediu KRBTKFILE, care controlează memoria cache a biletelor Kerberos v4 implicită, la
/tmp/tktpX Unde X este numărul PAG-ului utilizatorului. Acest lucru este util doar pentru celulele AFS
încă folosesc Kerberos v4 în afara AFS și nu are niciun efect pentru celulele care utilizează Kerberos v5 și
aklog or klog.krb5.
ATENȚIONĂRI
Fiecare PAG creat folosește două dintre sloturile de memorie pe care nucleul le folosește pentru a înregistra UNIX
grupuri asociate unui utilizator. Dacă niciunul dintre aceste sloturi nu este disponibil, pagsh comandă
eșuează. Aceasta nu este o problemă cu majoritatea sistemelor de operare, care au cel puțin 16 sloturi
disponibil pentru fiecare utilizator.
În celulele care nu utilizează un utilitar de conectare modificat de AFS, utilizați această comandă pentru a obține un PAG
înainte de a emite clog comanda (sau includeți -setpag argument la clog comanda). Dacă
un PAG nu este achiziționat, Managerul de cache stochează jetonul într-o structură de acreditări
identificate prin UID local mai degrabă decât PAG. Acest lucru creează o potențială expunere de securitate
descrise în DESCRIERE.
Dacă utilizatorii mașinilor client NFS pentru care AFS este suportat trebuie să emită această comandă ca
parte a autentificării cu AFS, nu utilizați fs exportafs ale comenzii -uidcheck on
argument pentru a activa verificarea UID pe mașinile NFS/AFS Translator. Activarea verificării UID-ului
împiedică succesul acestei comenzi. Vedea clog(1).
Dacă verificarea UID nu este activată pe mașinile Translator, atunci în mod implicit este posibil
lansați această comandă pe o mașină client NFS configurată corespunzător care accesează AFS prin
NFS/AFS Translator, presupunând că mașina client NFS este un tip de sistem acceptat.
pagsh binarul accesat de clientul NFS trebuie să fie deținut de și să acorde privilegii setuid
la, superutilizatorul local „rădăcină”. Setul complet de biți de mod trebuie să fie „-rwsr-xr-x”. Acest
nu este o cerință atunci când comanda este emisă pe mașinile client AFS.
Cu toate acestea, dacă administratorul mașinii traducătorului a activat verificarea UID prin includerea
il -uidcheck on argument la fs exportafs comanda, comanda eșuează cu o eroare
mesaj similar cu următorul:
Avertisment: Setpag de la distanță la a eșuat (err=8). . .
setpag: eroare de format Exec
EXEMPLE
În exemplul următor, emitentul invocă shell-ul C în loc de Bourne implicit
coajă:
# pagsh -c /bin/csh
PRIVILEGIU NECESARE
Nici unul
Utilizați pagsh.openafs online folosind serviciile onworks.net
