NAZWA¶

suauth - plik szczegółowej kontroli su

SKŁADNIA¶

/etc/suauth

OPIS¶

Plik /etc/suauth przeszukiwany jest przy każdym wywołaniu polecenia su. Może on zmieniać zachowanie się polecenia su, w oparciu o

1) użytkownika, na którego konto wykonywane jest su

Plik sformatowany jest jak poniżej. Wiersze rozpoczynające się od # są traktowane jak wiersze komentarza i ignorowane.

Gdzie na-ID jest albo słowem ALL (wszyscy), albo listą nazw użytkowników rozdzielonych "," albo też słowami ALL EXCEPT (wszyscy oprócz), po których następuje lista nazw użytkowników rozdzielonych przecinkiem.

z-ID jest formatowane w taki sam sposób jak na-ID, z wyjątkiem tego, że rozpoznawane jest dodatkowe słowo GROUP. Zapis ALL EXCEPT GROUP (wszyscy z wyjątkiem grupy) jest również całkowicie poprawny. Po słowie GROUP powinna wystąpić jedna lub więcej rozdzielonych przecinkiem nazw grup. Niewystarczające jest podanie głównego ID danej grupy - niezbędny jest wpis w /etc/group(5).

Akcja może być tylko jedną z obecnie obsługiwanych opcji:

DENY

(zakaz) Próba wykonania su jest zatrzymywana jeszcze przed pytaniem o hasło.

NOPASS

(bez hasła) Próba wykonania su jest automatycznie pomyślna; brak pytania o hasło.

OWNPASS

(własne hasło) Użytkownik wywołujący su musi wprowadzić własne hasło, by polecenie zostało pomyślnie wykonane. Jest on powiadamiany o konieczności podania własnego hasła.

Zauważ, że istnieją trzy odrębne pola rozdzielone dwukropkiem. Białe znaki wokół dwukropka nie są dozwolone. Zauważ też, że plik analizowany jest sekwencyjnie, wiersz po wierszu, i stosowana jest pierwsza pasująca reguła bez analizy reszty pliku. Umożliwia to administratorowi systemu precyzyjną kontrolę według własnych upodobań.

PRZYKŁAD¶

# przykładowy plik /etc/suauth
#
# para uprzywilejowanych użytkowników
# może wykonać su na konto root
# przy pomocy własnych haseł
#
root:chris,birddog:OWNPASS
# 
# Nikt inny nie może wykonać su na konto root,
# chyba że jest członkiem grupy wheel.
# Tak to robi BSD.
#
root:ALL EXCEPT GROUP wheel:DENY
#
# Być może terry i birddog są kontami,
# których używa ta sama osoba.
# Można zrobić wzajemny dostęp
# pomiędzy nimi bez haseł.
#
terry:birddog:NOPASS
birddog:terry:NOPASS
#

PLIKI¶

/etc/suauth

BŁĘDY¶

Może być sporo ukrytych. Analizator pliku jest szczególnie wrażliwy na błędy składniowe. Zakłada on, że nie będzie zbędnych białych znaków (z wyjątkiem początków i końców wierszy), a różne elementy będą separowane konkretnym znakiem ogranicznika.

DIAGNOSTYKA¶

Błąd analizy pliku zgłaszany jest przy użyciu syslogd(8) jako zagrożenie o poziomie ERR (błąd) w podsystemie AUTH (identyfikacji użytkownika przy zgłoszeniu).

ZOBACZ TAKŻE¶

su(1)

AUTOR¶

Chris Evans (lady0110@sable.ox.ac.uk)
Lady Margaret Hall
Oxford University
England