файл permission

Як створюється структура елементів.

  • LOGNAME - вказує дозволу, які діють, коли віддалена машина реєструється (звертається) в вашому комп'ютері;
  • MACHINE - вказує дозволу, які діють, коли ваш комп'ютер реєструється (звертається) у віддаленій машині.

Елементи LOGNAME міститимуть параметр LOGNAME, а елементи MACHINE - параметр MACHINE.

При використанні файлу Permissions, щоб обмежити рівень доступу, що надається віддаленим машинам, необхідно взяти до уваги такі моменти:

  1. Все ID реєстрації, використовувані віддаленими машинами для реєстрації в лініях зв'язку типу UUCP, повинні з'являтися в одному і тільки одному елементі LOGNAME.
  2. Будь абонентський пункт, який викликається, і чиє ім'я не з'являється в елементі MACHINE, матиме наступні дозволи / обмеження за замовчуванням:
    • локальні запити відсилання та отримання будуть виконуватися;
    • віддалена машина може посилати файли в каталог / var / spool / uucppublic вашого комп'ютера;
    • команди, послані з віддаленої машини, для виконання на вашому комп'ютері, повинні являти собою одну з команд за замовчуванням, зазвичай rmail.

Нижче наводяться деталі кожного параметра, що вказують як вони використовуються і їх значення за замовчуванням.

Коли віддалена машина звертається до вашого комп'ютера і робить запит на отримання файлу, цей запит може бути прийнятий або відхилений. Параметр REQUEST вказує, може чи ні віддалена машина запросити установку передачі файлів з вашого комп'ютера.

вказує, що віддалена машина може зробити запит на передачу файлів з вашого комп'ютера.

вказує, що віддалена машина не може зробити запит на отримання файлів з вашого комп'ютера. Символьний рядок "no" є значенням за замовчуванням. Параметр REQUEST може з'являтися або в елементі LOGNAME (віддалена машина звертається до вашої), або в елементі MACHINE (ви звертаєтеся до віддаленої машині).

Коли віддалена машина звертається до вашого комп'ютера і виконує свою роботу, вона може спробувати виконати роботу, для якої ваш комп'ютер вже організував чергу. Параметр SENDFILES вказує може чи ні ваш комп'ютер відіслати роботу, організовану в чергу для віддаленої машини.

вказує, що комп'ютер може відіслати роботу, яка організована в чергу для віддаленої машини, так як вона зареєструвалася в формі одного з імен в параметрі LOGNAME. Ця символьний рядок є обов'язковою, якщо комп'ютер перебуває в "пасивному режимі" по відношенню до віддаленої машині.

вказує, що файли, організовані в чергу в вашому комп'ютері, будуть отслани тільки тоді, коли комп'ютер звернеться до віддаленої машині. Значення звернення є значенням за замовчуванням для параметра SENDFILE. Цей параметр важливий тільки в елементах LOGNAME, так як елементи MACHINE застосовувати тільки тоді, коли звернення до віддалених машини вже виконані. Якщо цей параметр використовується з елементом MACHINE, він буде ігноруватися.

Параметри READ і WRITE

Ці параметри вказують різні частини файлової системи, які команда uucico може вважати або в які може записати. Параметри READ і WRITE можуть використовуватися як з елементами MACHINE, так і з LOGNAME.

За замовчуванням READ і WRITE є каталог uucppublic, як показано в наступній символьної рядку:

вказують дозвіл на звернення до будь-якого файлу, до якого може звернутися локальний користувач з "іншими" дозволами.

Значним цих елементів є список повних імен команд, відокремлених один від одного;. Параметр READ служить для запиту файлів, а параметр WRITE - для розміщення файлів. Одним із значень повинен бути префікс будь-якого повного імені файлу, що входить або виходить. Щоб дати дозвіл на розміщення файлів в / usr / news, а також в громадському каталозі, з параметром WRITE слід використовувати такі значення:

Якщо використовуються параметри READ і WRITE, всі повні імена слід вказати, так як повні імена до списку за замовчуванням не додаються. Наприклад, якщо повне ім'я / usr / news було єдиним зазначеним повним ім'ям в параметрі WRITE, то дозвіл на розміщення файлів в громадському каталозі буде відкинуто.

Параметри NOREAD і NOWRITE

Параметри NOREAD і NOWRITE зазначають винятки до параметрів READ і WRITE або їх значення за замовчуванням.

READ = / NOREAD = / etc WRITE = / var / spool uucppublic

завжди дозволяють зчитування будь-якого файлу за винятком тих, які знаходяться в каталозі / etc (і його підкаталогах) і запис тільки в каталог / var / spool / uucppublic за замовчуванням. Параметр NOWRITE діє також, як і параметр NOREAD. NOREAD і NOWRITE можна використовувати і в елементах LOGNAME, і в елементах MACHINE.

Параметр CALLBACK використовується в елементах LOGNAME для вказівки того, що ні один вхідний повідомлення не буде виконано, поки що викликає система не буде відкликана назад.

вказує, що ваш комп'ютер повинен відкликати віддалену машину назад, перш ніж буде переданий будь-якої файл.

Значення за замовчуванням параметра CALLBACK це

Параметр CALLBACK використовується дуже рідко. Зверніть увагу, що якщо обидва абонентських пункту встановлять один для одного цей параметр на "yes", то їх спілкування ніколи не почнеться.

Попередження: Параметр COMMANDS може створити ризиковану ситуацію для захисту вашої системи. Використовуйте його з крайньою обережністю.

Програма uux буде генерувати запити на віддалене виконання і організовувати їх в чергу для передачі в віддалену машину. Файли і команди надсилаються для віддаленого виконання в цільову машину. Параметр COMMANDS можна використовувати в елементах MACHINE для вказівки команд, які віддалена машина може виконати в вашому комп'ютері.

вказує команди за замовчуванням, які віддалена машина може виконати в вашому комп'ютері. Якщо в елементі MACHINE використовується якась символьний рядок команди, команда за замовчуванням буде перевизначатися. Наприклад, елемент

переопределяет COMMAND за замовчуванням так, що список команд для машин owl, raven, hawk і dove буде тепер складатиметься з rmail, rnews і lp. Коли віддалена машина буде вказувати rnews або / usr / lbin / rnews для виконуваної команди, / usr / lbin / rnews буде виконуватися безвідносно до шляху за замовчуванням. Точно також / usr / local / lp - це команда lp, яка буде виконуватися.

Включення в список значення ALL означає, що будь-яка команда з віддаленої машини, зазначена в елементі, буде виконуватися. Якщо ви використовуєте це значення, ви даєте віддаленій машині повний доступ до вашого комп'ютера.

показує дві речі. Значення ALL може з'являтися в будь-якому місці в рядку, а повні імена, зазначені для rnews і lp будуть використовуватися (замість імен за замовчуванням), якщо запитана команда не буде містити повних імен rnews або lp.

Параметр VALIDATE слід використовувати з параметром COMMAND кожен раз, коли вказуються команди, що створюють потенційний ризик, такі як cat і uucp. Будь-яка команда, яка зчитує або пише файли, створює потенційну небезпеку для локального захисту, коли вона виконується за допомогою демона віддаленого виконання UUCP.

Параметр VALIDATE використовується з параметром COMMANDS для вказівки команд, що створюють потенційну небезпеку. Він використовується, щоб забезпечити певний ступінь перевірки права доступу викликає програми. Використання параметра VALIDATE вимагає, щоб привілейовані машини мали унікальне ім'я реєстрації і пароль для вхідних повідомлень UUCP. Важливим моментом при перевірці достовірності є наявність захисту імені реєстрації (пароля, пов'язаного з елементом). Якщо хтось сторонній отримує цю інформацію, конкретний параметр VALIDATE не можна вважати безпечним.

Ретельного розгляду вимагає забезпечення віддаленої машини привілейованими реєстрацією і паролем для вхідних повідомлень UUCP. Забезпечення віддаленої машини спеціальним ім'ям реєстрації та паролем з доступом до файлів і з можливістю віддаленого виконання означає забезпечення цій машині нормальної реєстрації та пароля у вашому комп'ютері. Отже, якщо ви не довіряєте комусь на віддаленій машині, не надавайте їй привілейованих реєстрації та пароля.

вказують, що якщо одна з віддалених машин збирається зареєструватися в вашому комп'ютері як eagle, owl або hawk, вона повинна використовувати ім'я реєстрації uucpfriend. Як легко побачити, якщо зовнішній пристрій отримує ім'я реєстрації / пароль uucpfriend, всяка маскування банальна. Але що має відбуватися з параметром COMMANDS, який з'являється в елементах MACHINE? Вони пов'язують елемент MACHINE (і параметр COMMANDS) з елементом LOGNAME, пов'язаним з привілейованої реєстрацією. Таке зв'язування необхідно тому, що демон виконання не працюватиме, поки зареєстрована віддалена машина. Насправді, цей процес є несинхронним процесом, якому невідомо з якої машини посланий запит на виконання. Отже, виникає питання про те, як ваш комп'ютер дізнається звідки приходять файли виконання.

Кожна віддалена машина має свій власний spool-каталог у вашому комп'ютері. Ці каталоги мають дозвіл на запис, дающееся тільки програмам UUCP. Файли виконання з віддаленої машини поміщаються в свій spool-каталог після надходження в ваш комп'ютер. Коли функціонує демон uuxt, він може використовувати ім'я каталогу буферизації для пошуку елемента MACHINE в файлі Permissions і отримання списку COMMANDS; якщо ім'я машини не з'являється в файлі Permissions, буде використовуватися список за замовчуванням.

Ніжепріводімий приклад показує взаємовідношення між елементами MACHINE і LOGNAME:

MACHINE = eagle: owl: hawk REQUEST = yes \ COMMANDS = ALL \ READ = / WRITE = / LOGNAME = uucpz VALIDATE = eagle: owl: hawk \ REQUEST = yes SENDFILES = yes \ READ = / WRITE = /

Ці елементи забезпечують необмежені зчитування, запис і виконання команд для віддалених машин eagle, owl і hawk. Значення ALL дає віддаленій машині необмежений доступ до вашого комп'ютера. Фактично до файлів, які за допомогою користувача "uucp" (типу Systems або Devices) можуть тільки зчитуватися або записуватися, можна звертатися, використовуючи команди, наприклад, таку як ed. Це означає, що користувач однієї з привілейованих машин може не тільки зчитувати, але і записувати інформацію в файл Systems.

У першому елементі ви повинні зробити припущення, що коли ви захочете викликати одну з перерахованих машин, ви викликаєте одну з машин: eagle, owl або hawk. Отже, будь-які файли, поміщені в spool-каталоги машини eagle, owl або hawk, поміщаються туди однієї з цих машин. Якщо якась віддалена машина реєструється і повідомляє, що вона одна з цих трьох машин, її файли виконання будуть також міститися в привілейований spool-каталог. Ви, отже, повинні перевірити чи має ця машина привілейоване ім'я реєстрації uucpz.

Елемент MACHINE для інших систем

Ви, можливо, захочете вказати різні значення параметрів для тих машин, до яких звертається ваш комп'ютер, то є й ті, які не згадані в зазначених елементах MACHINE. Таке бажання може виникнути, якщо викликається кілька машин, а безліч команд час від часу змінюються. Ім'я OTHER (інші) використовуються для цього елемента в якості імені машини і виглядає наступним чином:

MACHINE = OTHER \ COMMANDS = rmail: rnews: / usr / lbin / Photo: / usr / lbin / xp

Всі інші параметри, доступні елементу MACHINE, можуть також встановлюватися для машин, які не згаданих в інших елементах MACHINE.

Є можливість об'єднати елементи MACHINE і LOGNAME в один елемент, де загальні параметри залишаються тими ж. Наприклад, два елементи:

MACHINE = eagle: owl: hawk REQUEST = yes \ READ = / WRITE = / LOGNAME = uucpz REQUEST = yes SENDFILES = yes \ READ = / WRITE = /

мають одні і ті ж параметри REQUEST, READ і WRITE. Ці два елементи можна об'єднати в один наступним чином:

MACHINE = eagle: owl: hawk REQUEST = yes \ LOGNAME = uucpz SENDFILES = yes \ READ = / WRITE = /

Зразки файлів Permissions

Цей перший приклад представляє найбільш строгий доступ до вашого комп'ютера Приклад 1.

Він показує, що ім'я реєстрації nuucp має всі дозволи / заборони за замовчуванням:

  • віддалена машина може посилати тільки в uucppublic;
  • віддалена машина не може запитувати отримання файлів (параметр REQUEST);
  • файли, які організовуються в чергу для віддаленої машини, не будуть передаватися в ході поточного сеансу (параметр SENDFILES);
  • єдиними командами, які можна виконати, є команди за замовчуванням.

Цей елемент сам по собі достатній, щоб встановити лінію зв'язку з віддаленими машинами, дозволяючи передачу файлів тільки в каталог / var / spool / uucppublic.

Наступний приклад дається для віддалених машин, які реєструються і мають менше обмежень. Ім'я реєстрації та пароль, що мають такий елементу, не повинні повідомлятися всім (оприлюднюватись); вони повинні зазвичай резервуватися для систем з сильним зв'язком, де інформацією файлів Systems можна строго управляти.

LOGNAME = uucpz REQUEST = yes SENDFILES = yes \ READ = / WRITE = /

Цей елемент размешает дозволу (обмеження) в машині, яка реєструється як uucpz:

  • файли можна запитувати з вашого комп'ютера (параметр REQUEST);
  • файли можна передавати в будь-який каталог чи будь-який файл, який може записуватися користувачем "other" (іншими). Це файл / каталог, який може записуватися локальним користувачем, які не мають не особистого, ні групового дозволу (параметр WRITE);
  • всі файли, що прочитуються користувачем "other", можна запросити (параметр READ);
  • всі запити організовані в чергу для віддаленої машини, будуть виконуватися в ході поточного сеансу. Це не файли, які призначені для машини, яка виконала звернення (параметр SENDFILES).
  • команди, послані на виконання в локальну машину, повинні перебувати в безлічі за замовчуванням.

У двох попередніх прикладах показані елементи, які відносяться до віддалених машин, коли ті реєструються в вашому комп'ютері. Цей приклад представляє елемент, який використовується для звернення до віддалених машини:

MACHINE = EAGLE: OWL: HAWK: RAVEN \ REQUEST = yes READ = / WRITE = /

При зверненні до будь-яких систем, даними в списку MACHINE, переважають такі дозволи:

  • віддалена машина може як запитувати, так і посилати файли (параметр REQUEST);
  • джерело або пункт призначення файлів в локальній машині може перебувати в будь-якому місці файлової системи (з параметром read / write);
  • єдиними командами, які будуть виконуватися для віддаленої машини, будуть команди, що знаходяться в безлічі за замовчуванням.

Будь абонентський пункт, до якого звертаються, якщо його імені немає в елементі MACHINE, матиме дозволу за замовчуванням, як це показано в прикладі 1, за винятком організованих в чергу для такої машини файлів, які будуть надсилатися. (Параметр SENDFILES - є єдиним, який інтерпретується в елементі LOGNAME).