هذا هو الأمر pagsh.openafs الذي يمكن تشغيله في موفر الاستضافة المجاني OnWorks باستخدام إحدى محطات العمل المجانية المتعددة عبر الإنترنت مثل Ubuntu Online أو Fedora Online أو محاكي Windows عبر الإنترنت أو محاكي MAC OS عبر الإنترنت
برنامج:
اسم
pagsh, pagsh.krb - يقوم بإنشاء PAG جديد
موجز
باجش
pagsh.krb
الوصف
تشير باجش يقوم الأمر بإنشاء غلاف أوامر جديد (مملوك لمصدر الأمر) و
يربط جديد عملية المعالجة المصادقة رأس التجميع (PAG) مع الصدفة والمستخدم. PAG هو
رقم مضمون لتحديد مصدر الأوامر في الغلاف الجديد بشكل فريد لـ
مدير ذاكرة التخزين المؤقت المحلي. يتم استخدام PAG، بدلاً من معرف UNIX UID الخاص بجهة الإصدار، لتحديد
المصدر في بنية بيانات الاعتماد التي ينشئها مدير ذاكرة التخزين المؤقت لتتبع كل مستخدم.
تصبح أي رموز مميزة يتم الحصول عليها لاحقًا (على الأرجح للخلايا الأخرى) مرتبطة بـ
PAG، بدلاً من استخدام UNIX UID الخاص بالمستخدم. هذه الطريقة لتمييز المستخدمين لها طريقتان
مزايا:
· ويعني أن العمليات التي أنشأها المستخدم ترث PAG وبالتالي تتقاسم الرمز المميز؛ هكذا
يمكنهم الوصول إلى AFS كمستخدم تمت مصادقته. في العديد من البيئات، على سبيل المثال،
تعمل الطابعة والشياطين الأخرى تحت هويات (مثل "الجذر" للمستخدم المتميز المحلي).
يتم التعرف على عمليات خادم AFS فقط على أنها "مجهولة". ما لم يتم استخدام PAGs، مثل
لا يمكن للشياطين الوصول إلى الملفات الموجودة في الدلائل التي لا تستطيع قوائم التحكم بالوصول (ACLs) الخاصة بها ذلك
توسيع الأذونات للنظام: أي مجموعة مستخدمين.
· يقوم بإغلاق ثغرة أمنية محتملة: حيث يسمح نظام UNIX لأي شخص قام بتسجيل الدخول باسم
المستخدم المتميز المحلي "الجذر" على الجهاز ليتحمل أي هوية أخرى عن طريق إصدار UNIX su
يأمر. إذا تم تعريف بنية بيانات الاعتماد بواسطة UNIX UID بدلاً من PAG، فحينئذٍ
يمكن للمستخدم المتميز المحلي "الجذر" أن يفترض معرف UNIX UID ويستخدم أي رموز مميزة مرتبطة بذلك
معرف فريد. استخدام PAG كمعرف يلغي هذا الاحتمال.
(عفا عليها الزمن في الغالب) pagsh.krb الأمر هو نفس باجش باستثناء أنه يقوم أيضًا بتعيين
متغير البيئة KRBTKFILE، الذي يتحكم في ذاكرة التخزين المؤقت لتذكرة Kerberos v4 الافتراضية، إلى
/tmp/tktpX أين X هو رقم PAG الخاص بالمستخدم. وهذا مفيد فقط لخلايا AFS
لا يزال يستخدم Kerberos v4 خارج AFS وليس له أي تأثير على الخلايا التي تستخدم Kerberos v5 و
اكلوج or klog.krb5.
يحذر
يستخدم كل PAG يتم إنشاؤه اثنين من فتحات الذاكرة التي تستخدمها النواة لتسجيل UNIX
المجموعات المرتبطة بالمستخدم. في حالة عدم توفر أي من هذه الفتحات، سيتم باجش أمر
فشل. هذه ليست مشكلة مع معظم أنظمة التشغيل، التي تحتوي على 16 فتحة على الأقل
متاح لكل مستخدم.
في الخلايا التي لا تستخدم أداة مساعدة لتسجيل الدخول تم تعديلها بواسطة AFS، استخدم هذا الأمر للحصول على PAG
قبل إصدار كلوغ الأمر (أو قم بتضمين -setpag حجة لل كلوغ يأمر). لو
لم يتم الحصول على PAG، ويقوم مدير التخزين المؤقت بتخزين الرمز المميز في بنية بيانات الاعتماد
تم تحديدها بواسطة UID المحلي بدلاً من PAG. وهذا يخلق التعرض الأمني المحتمل
الموصوفة في الوصف.
إذا كان على مستخدمي الأجهزة العميلة NFS التي يتم دعم AFS لها إصدار هذا الأمر كـ
جزء من المصادقة مع AFS، لا تستخدم fs اكسبورتافس الأمر -تحقق من on
وسيطة لتمكين التحقق من UID على أجهزة NFS/AFS Translator. تمكين التحقق من UID
يمنع هذا الأمر من النجاح. يرى كلوغ(1).
إذا لم يتم تمكين فحص UID على أجهزة المترجم، فمن الممكن افتراضيًا
قم بإصدار هذا الأمر على جهاز عميل NFS تم تكوينه بشكل صحيح والذي يصل إلى AFS عبر
مترجم NFS/AFS، على افتراض أن جهاز العميل NFS هو نوع نظام مدعوم.
تشير باجش يجب أن يكون الملف الثنائي الذي يصل إليه عميل NFS مملوكًا ويمنح امتياز setuid
إلى "الجذر" المستخدم المتميز المحلي. يجب أن تكون المجموعة الكاملة لبتات الوضع "-rwsr-xr-x". هذا
ليس شرطًا عند إصدار الأمر على أجهزة عميل AFS.
ومع ذلك، إذا قام مسؤول جهاز المترجم بتمكين فحص UID من خلال تضمينه
هيه -تحقق من on حجة لل fs اكسبورتافس الأمر، فشل الأمر مع وجود خطأ
رسالة مشابهة لما يلي:
تحذير: فشل تعيين جهاز التحكم عن بعد إلى (الخطأ=8). . .
setpag: خطأ في تنسيق Exec
أمثلة
في المثال التالي، يقوم المُصدر باستدعاء الصدفة C بدلاً من Bourne الافتراضي
شل:
# باغش -c /bin/csh
شرف مطلوبة
بدون سلوفان
استخدم pagsh.openafs عبر الإنترنت باستخدام خدمات onworks.net