2007-11-10 23:46:11 +00:00
|
|
|
.\" $Id$
|
2007-10-07 11:44:44 +00:00
|
|
|
.TH SUAUTH 5 "14 lutego 1996"
|
|
|
|
.UC 5
|
|
|
|
.SH NAZWA
|
2007-10-07 11:47:11 +00:00
|
|
|
suauth \- plik szczegółowej kontroli su
|
2007-10-07 11:44:44 +00:00
|
|
|
.\" detailed su control file
|
2007-10-07 11:47:11 +00:00
|
|
|
.SH SKŁADNIA
|
2007-10-07 11:44:44 +00:00
|
|
|
.B /etc/suauth
|
|
|
|
.SH OPIS
|
|
|
|
Plik
|
|
|
|
.I /etc/suauth
|
2007-10-07 11:47:11 +00:00
|
|
|
przeszukiwany jest przy każdym wywołaniu polecenia su. Może on zmieniać
|
|
|
|
zachowanie się polecenia su, w oparciu o
|
2007-10-07 11:44:44 +00:00
|
|
|
.PP
|
|
|
|
.RS
|
|
|
|
.nf
|
2007-10-07 11:47:11 +00:00
|
|
|
1) użytkownika, na którego konto wykonywane jest su
|
2007-10-07 11:44:44 +00:00
|
|
|
.fi
|
2007-10-07 11:47:11 +00:00
|
|
|
2) użytkownika wykonującego polecenie su (lub dowolną z grup, której może
|
|
|
|
on być członkiem)
|
2007-10-07 11:44:44 +00:00
|
|
|
.RE
|
|
|
|
.PP
|
2007-10-07 11:47:11 +00:00
|
|
|
Plik sformatowany jest jak poniżej. Wiersze rozpoczynające się od # są
|
2007-10-07 11:44:44 +00:00
|
|
|
traktowane jak wiersze komentarza i ignorowane.
|
|
|
|
.PP
|
|
|
|
.RS
|
2007-10-07 11:46:07 +00:00
|
|
|
na\-ID:z\-ID:AKCJA
|
2007-10-07 11:44:44 +00:00
|
|
|
.RE
|
|
|
|
.PP
|
2007-10-07 11:47:11 +00:00
|
|
|
Gdzie na\-ID jest albo słowem
|
2007-10-07 11:44:44 +00:00
|
|
|
.B ALL
|
2007-10-07 11:47:11 +00:00
|
|
|
(wszyscy), albo listą nazw użytkowników rozdzielonych "," albo też słowami
|
2007-10-07 11:44:44 +00:00
|
|
|
.B ALL EXCEPT
|
2007-10-07 11:47:11 +00:00
|
|
|
(wszyscy oprócz), po których następuje lista nazw użytkowników
|
2007-10-07 11:44:44 +00:00
|
|
|
rozdzielonych przecinkiem.
|
|
|
|
.PP
|
2007-10-07 11:47:11 +00:00
|
|
|
z\-ID jest formatowane w taki sam sposób jak na\-ID, z wyjątkiem tego, że
|
|
|
|
rozpoznawane jest dodatkowe słowo
|
2007-10-07 11:44:44 +00:00
|
|
|
.BR GROUP.
|
|
|
|
Zapis
|
|
|
|
.B ALL EXCEPT GROUP
|
2007-10-07 11:47:11 +00:00
|
|
|
(wszyscy za wyjątkiem grupy) jest również całkowicie poprawny.
|
|
|
|
Po słowie
|
2007-10-07 11:44:44 +00:00
|
|
|
.B GROUP
|
2007-10-07 11:47:11 +00:00
|
|
|
powinna wystąpić jedna lub więcej rozdzielonych przecinkiem nazw grup.
|
|
|
|
Niewystarczające jest podanie głównego ID danej grupy \- niezbędny jest
|
2007-10-07 11:44:44 +00:00
|
|
|
wpis w
|
|
|
|
.BR /etc/group (5).
|
|
|
|
.PP
|
2007-10-07 11:47:11 +00:00
|
|
|
Akcja może być tylko jedną z obecnie obsługiwanych opcji:
|
2007-10-07 11:44:44 +00:00
|
|
|
.TP 10
|
|
|
|
.B DENY
|
2007-10-07 11:47:11 +00:00
|
|
|
(zakaz) Próba wykonania su jest zatrzymywana jeszcze przed pytaniem o hasło.
|
2007-10-07 11:44:44 +00:00
|
|
|
.TP 10
|
|
|
|
.B NOPASS
|
2007-10-07 11:47:11 +00:00
|
|
|
(bez hasła) Próba wykonania su jest automatycznie pomyślna; brak pytania
|
|
|
|
o hasło.
|
2007-10-07 11:44:44 +00:00
|
|
|
.TP 10
|
|
|
|
.B OWNPASS
|
2007-10-07 11:47:11 +00:00
|
|
|
(własne hasło) Użytkownik wywołujący su musi wprowadzić własne hasło, by
|
|
|
|
polecenie zostało pomyślnie wykonane. Jest on powiadamiany o konieczności
|
|
|
|
podania własnego hasła.
|
2007-10-07 11:44:44 +00:00
|
|
|
.PP
|
2007-10-07 11:47:11 +00:00
|
|
|
Zauważ, że istnieją trzy odrębne pola rozdzielone dwukropkiem. Białe znaki
|
|
|
|
wokół dwukropka nie są dozwolone. Zauważ też, że plik analizowany jest
|
|
|
|
sekwencyjnie, wiersz po wierszu, i stosowana jest pierwsza pasująca reguła
|
|
|
|
bez analizy reszty pliku. Umożliwia to administratorowi systemu precyzyjną
|
|
|
|
kontrolę według własnych upodobań.
|
|
|
|
.SH PRZYKŁAD
|
2007-10-07 11:44:44 +00:00
|
|
|
.PP
|
|
|
|
.nf
|
2007-10-07 11:47:11 +00:00
|
|
|
# przykładowy plik /etc/suauth
|
2007-10-07 11:44:44 +00:00
|
|
|
#
|
2007-10-07 11:47:11 +00:00
|
|
|
# para uprzywilejowanych użytkowników
|
|
|
|
# może wykonać su na konto root
|
|
|
|
# przy pomocy własnych haseł
|
2007-10-07 11:44:44 +00:00
|
|
|
#
|
|
|
|
root:chris,birddog:OWNPASS
|
|
|
|
#
|
2007-10-07 11:47:11 +00:00
|
|
|
# Nikt inny nie może wykonać su na konto root,
|
|
|
|
# chyba że jest członkiem grupy wheel.
|
2007-10-07 11:44:44 +00:00
|
|
|
# Tak to robi BSD.
|
|
|
|
#
|
|
|
|
root:ALL EXCEPT GROUP wheel:DENY
|
|
|
|
#
|
2007-10-07 11:47:11 +00:00
|
|
|
# Być może terry i birddog są kontami,
|
|
|
|
# których używa ta sama osoba.
|
|
|
|
# Można zrobić wzajemny dostęp
|
|
|
|
# pomiędzy nimi bez haseł.
|
2007-10-07 11:44:44 +00:00
|
|
|
#
|
|
|
|
terry:birddog:NOPASS
|
|
|
|
birddog:terry:NOPASS
|
|
|
|
#
|
|
|
|
.fi
|
|
|
|
.SH PLIKI
|
|
|
|
.I /etc/suauth
|
2007-10-07 11:47:11 +00:00
|
|
|
.SH BŁĘDY
|
|
|
|
Może być sporo ukrytych. Analizator pliku jest szczególnie wrażliwy
|
|
|
|
na błędy składniowe. Zakłada on, że nie będzie zbędnych białych znaków
|
|
|
|
(za wyjątkiem początków i końców wierszy), a różne elementy będą separowane
|
2007-10-07 11:44:44 +00:00
|
|
|
konkretnym znakiem ogranicznika.
|
|
|
|
.SH DIAGNOSTYKA
|
2007-10-07 11:47:11 +00:00
|
|
|
Błąd analizy pliku zgłaszany jest przy użyciu
|
2007-10-07 11:44:44 +00:00
|
|
|
.BR syslogd (8)
|
2007-10-07 11:47:11 +00:00
|
|
|
jako zagrożenie o poziomie ERR (błąd) w podsystemie AUTH (identyfikacji
|
|
|
|
użytkownika przy zgłoszeniu).
|
2007-10-07 11:44:44 +00:00
|
|
|
.\" as level ERR on facility AUTH.
|
2007-10-07 11:47:11 +00:00
|
|
|
.SH ZOBACZ TAKŻE
|
2007-10-07 11:44:44 +00:00
|
|
|
.BR su (1)
|
|
|
|
.SH AUTOR
|
|
|
|
.nf
|
|
|
|
Chris Evans (lady0110@sable.ox.ac.uk)
|
|
|
|
Lady Margaret Hall
|
|
|
|
Oxford University
|
|
|
|
England
|