Это команда pagsh.openafs, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
pagsh, pagsh.krb - Создает новую PAG
СИНТАКСИС
пагш
пагш.крб
ОПИСАНИЕ
The пагш команда создает новую командную оболочку (принадлежит издателю команды) и
связывает новый процесс идентификация группы (PAG) с оболочкой и пользователем. PAG - это
число, которое гарантированно идентифицирует издателя команд в новой оболочке, уникально для
локальный диспетчер кеша. PAG используется вместо UNIX UID эмитента для идентификации
эмитент в структуре учетных данных, которую Cache Manager создает для отслеживания каждого пользователя.
Любые токены, приобретенные впоследствии (предположительно для других ячеек), становятся ассоциированными с
PAG, а не с UID пользователя UNIX. У этого метода различения пользователей есть два
преимущества:
· Это означает, что процессы, порожденные пользователем, наследуют PAG и, таким образом, совместно используют токен; таким образом
они получают доступ к AFS как аутентифицированный пользователь. Например, во многих средах
принтер и другие демоны работают под идентификационными данными (такими как локальный суперпользователь "root"), которые
серверные процессы AFS распознают только как «анонимные». Если не используются PAG, такие
демоны не могут получить доступ к файлам в каталогах, чьи списки контроля доступа (ACL) не
расширить права доступа к системе: любая группа пользователей.
· Это закрывает потенциальную лазейку в безопасности: UNIX позволяет любому, кто уже вошел в систему как
локальный суперпользователь "root" на машине, чтобы принять любую другую личность, выполнив UNIX su
команда. Если структура учетных данных определяется UID UNIX, а не PAG, то
локальный суперпользователь "root" может принять UNIX UID и использовать любые токены, связанные с этим
UID. Использование PAG в качестве идентификатора исключает эту возможность.
(В основном устаревшие) пагш.крб команда такая же, как пагш за исключением того, что он также устанавливает
Переменная среды KRBTKFILE, которая управляет кешем билетов Kerberos v4 по умолчанию, чтобы
/ tmp / tktpX в котором X - номер PAG пользователя. Это полезно только для ячеек AFS.
все еще использует Kerberos v4 вне AFS и не влияет на ячейки, использующие Kerberos v5 и
Aklog or клог.krb5.
ПРЕДОСТЕРЕЖЕНИЯ
Каждый созданный PAG использует два слота памяти, которые ядро использует для записи UNIX
группы, связанные с пользователем. Если ни один из этих слотов недоступен, пагш команду
терпит неудачу. Это не проблема для большинства операционных систем, которые имеют как минимум 16 слотов.
доступно для каждого пользователя.
В ячейках, которые не используют измененную AFS служебную программу входа в систему, используйте эту команду для получения PAG
перед выпуском бревно команду (или включите -setpag аргумент к бревно команда). Если
PAG не получен, Cache Manager хранит токен в структуре учетных данных
определяется локальным UID, а не PAG. Это создает потенциальную угрозу безопасности.
описано в ОПИСАНИИ.
Если пользователи клиентских машин NFS, для которых поддерживается AFS, должны ввести эту команду как
часть аутентификации с помощью AFS, не используйте fs Exportafs командование -uidcheck on
аргумент для включения проверки UID на машинах с транслятором NFS / AFS. Включение проверки UID
предотвращает успешное выполнение этой команды. Видеть бревно(1).
Если проверка UID не включена на машинах-переводчиках, то по умолчанию можно
выполните эту команду на правильно настроенном клиентском компьютере NFS, который обращается к AFS через
переводчик NFS / AFS, предполагая, что клиентский компьютер NFS является поддерживаемым типом системы.
The пагш двоичный файл, к которому обращается клиент NFS, должен принадлежать и предоставлять привилегию setuid
to, локальный суперпользователь "root". Полный набор бит режима должен быть «-rwsr-xr-x». Этот
не является требованием, когда команда выполняется на клиентских машинах AFS.
Однако, если администратор машины-переводчика включил проверку UID, включив
-uidcheck on аргумент к fs Exportafs команда, команда завершается с ошибкой
сообщение, подобное следующему:
Предупреждение: удаленная установка не удалось (err = 8). . .
setpag: ошибка формата Exec
ПРИМЕРЫ
В следующем примере эмитент вызывает оболочку C вместо стандартного Bourne
оболочкой:
# pagsh -c / bin / csh
ПРИВИЛЕГИЯ ТРЕБУЕТСЯ
Ничто
Используйте pagsh.openafs в Интернете с помощью сервисов onworks.net