Permissions File Format for BNU

Online bearbeiten

Zweck

Gibt BNU-Berechtigungen für ferne Systeme an, die das lokale System aufrufen oder vom lokalen System aufgerufen werden.

Beschreibung

Die Datei /etc/uucp/Permissions gibt den Zugriff für ferne Systeme an, die das BNU-Programm (Basic Networking Utilities) für die Kommunikation mit dem lokalen System verwenden. Die Datei Berechtigungen enthält einen Eintrag für jedes System, das vom lokalen System über BNU kontaktiert wird. Diese Einträge entsprechen Einträgen in der Datei /etc/uucp/Systems oder anderen Systemdateien, die in der Datei /etc/uucp/Sysfiles mit demselben Format aufgelistet sind. Die Datei Berechtigungen enthält außerdem einen Eintrag für jede Anmelde-ID, die ferne Systeme verwenden dürfen, wenn BNU für die Anmeldung am lokalen System verwendet wird.

Einträge in der Datei Berechtigungen geben Folgendes an:

  • Anmelde-ID für ein fernes System
  • Die Umstände, unter denen ein fernes System Dateien an das lokale System senden und von dort empfangen darf.
  • Die Befehle, die ein fernes System auf dem lokalen System ausführen kann.

Die in einer Berechtigungen -Datei festgelegten Zugriffsberechtigungen wirken sich auf ferne Systeme insgesamt aus. Sie beziehen sich auf Nicht einzelne Benutzer, die auf diesen fernen Systemen arbeiten. Berechtigungen, die Uucico -und Uuxqt -Dämonaktivitäten einschränken, beschränken den BNU-Zugriff auf ein lokales System durch Alle -Benutzer auf einem angegebenen fernen System. Die Standardberechtigungen zum Senden und Empfangen von Dateien und zum Ausführen von Befehlen sind sehr restriktiv. Die Datei enthält jedoch auch Optionen, mit denen Sie diese Standardwerte ändern können, wenn ferne Systeme weniger eingeschränkten Zugriff auf das lokale System haben sollen.

Jeder Eintrag in einer Berechtigungen -Datei ist eine logische Zeile. Wenn ein Eintrag zu lang ist, um auf die Anzeige zu passen, machen Sie das letzte Zeichen in dieser physischen Zeile zu einem\(Backslash) gibt die Fortsetzung an und gibt dann den Rest des Eintrags in der nächsten physischen Zeile ein.

Jede logische Zeile enthält einen erforderlichen Eintrag, der eine Anmelde-ID (Eintrag LOGNAME) oder den Namen eines fernen Systems (Eintrag MACHINE) angibt, gefolgt von optionalen Optionen/Wert-Paaren, die durch Leerzeichen oder Tabulatoren getrennt sind. Sowohl Einträge LOGNAME und MACHINE als auch Option/Wert-Paare setzen sich aus Name/Wert-Paaren zusammen. Name/Wert-Paare bestehen aus dem Namen des Eintrags oder der Option gefolgt von einem=(Gleichheitszeichen) und der Wert des Eintrags oder der Option ohne Leerzeichen innerhalb des Paares.

Die Datei Berechtigungen kann auch Kommentarzeilen und Leerzeilen enthalten. Kommentarzeilen beginnen mit einem#(Nummernzeichen) und besetzen die gesamte physische Linie. Leerzeilen werden ignoriert.

Hinweis:
  1. Die in der Datei Berechtigungen festgelegten Zugriffsberechtigungen wirken sich auf die gesamte BNU-Kommunikation aus, einschließlich der über die Mailfunktion oder über eine TCP/IP-Verbindung. Einträge in einer Berechtigungen -Datei haben Nicht Auswirkungen auf einen Benutzer des fernen Systems mit einer gültigen Anmeldung auf einem angegebenen lokalen System. Fernanmeldebefehle (wie Cu, Ct, TNoder Tipp) stellen eine Verbindung zu einem System her und melden sich an einem System an, unabhängig von den Einschränkungen, die in der lokalen DateiBerechtigungen definiert sind. Ein Benutzer mit einer gültigen Anmelde-ID unterliegt nur den Berechtigungscodes, die für die Benutzer-ID (UID) und Gruppen-ID (GID) dieses Benutzers festgelegt wurden.
  2. Beispiele zur Verwendung der Datei Berechtigungen werden bereitgestellt. Die Beispiele umfassen die Ausgabe des Standardzugriffs oder des eingeschränkten Zugriffs auf ferne Systeme und die Kombination der Einträge LOGNAME und MACHINE.

Einträge für LOGNAME und MACHINE

Die Datei Berechtigungen enthält zwei Typen erforderlicher Einträge:

Element Beschreibung
PROTOKOLLNAME Gibt die Anmelde-IDs und Zugriffsberechtigungen für ferne Systeme an, die eine Verbindung zum lokalen System herstellen dürfen.
MASCHINE Gibt die Namen und Zugriffsberechtigungen für die fernen Systeme an, die das lokale System kontaktieren kann.

Sowohl LOGNAME-als auch MACHINE-Einträge geben Was das ferne System auf dem lokalen System tun kannan. LOGNAME-Einträge werden wirksam, wenn ein fernes System Kontakt zum lokalen System aufnimmt. Maschineneinträge werden wirksam, wenn das lokale System eine Verbindung zu einem fernen System herstellt. Die Berechtigungen, die dem fernen System in den beiden Eintragstypen erteilt werden, können identisch oder unterschiedlich sein.

Beispiel: Bei einem fernen SystemheraKontakt zum lokalen Systemzeusund meldet sich an alsuhera, dieLOGNAME=uheraEintrag in der Datei Berechtigungen amzeusSteuert, welche Aktionssystemeherakann das System übernehmenzeus. Wenn SystemzeusKontaktsystemhera, dieMACHINE=heraEintrag in der Datei Berechtigungen amzeusSteuert, welche Aktionssystemeherakann das System übernehmenzeus.

Der restriktivste LOGNAME-und MACHINE-Eintrag ist ein Eintrag ohne Option/Wert-Paare. Dies bedeutet, dass der Zugriff des fernen Systems auf das lokale System durch die Standardberechtigungen definiert wird. Schließen Sie Option/Wert-Paare in den Eintrag ein, um diese Standardwerte zu überschreiben. Verfügbare Optionen sind:

Diese Optionen ermöglichen es verschiedenen fernen Systemen, auf das lokale System zuzugreifen, wenn der BNU-Dateitransport und die Befehlsausführungsprogramme verwendet werden. Ein LOGNAME-und ein MACHINE-Eintrag können in einem einzigen Eintrag kombiniert sein, wenn beide dieselben Optionen enthalten.

LOGNAME, Eintrag

Ein LOGNAME-Eintrag gibt eine oder mehrere Anmelde-IDs für ferne Systeme an, die sich beim lokalen System anmelden dürfen, um Uucico -und Uuxqt -Dämontransaktionen auszuführen, sowie die Zugriffsberechtigungen für diese fernen Systeme. Die Anmelde-ID kann ein beliebiger gültiger Anmeldename sein. Der Eintrag LOGNAME gibt Berechtigungen für das ferne System an, wenn es Kontakt zum lokalen System aufnimmt. Ein LOGNAME-Eintrag hat folgendes Format:

LOG NAME=Anmelde-ID [ : Anmelde-ID...] [Option=Wert . . .]

Ferne Systeme melden sich mit einer der in der Liste LoginID aufgelisteten IDs an. Bei der Anmeldung mit dieser ID verfügt das ferne System über die Berechtigungen, die in der Liste Option=Wert angegeben sind. Das ferne System, das aufgerufen wird, muss in der Datei /etc/uucp/Systems oder in einer alternativen uucico -Servicesystemdatei aufgelistet sein, die in /etc/uucp/Sysfiles auf dem lokalen System angegeben ist.

Wenn Sie mehrere Anmelde-IDs mit denselben Option/Wert-Paaren angeben möchten, listen Sie sie in demselben LOGNAME-Eintrag auf, getrennt durch Doppelpunkte, aber ohne Leerzeichen. Um mehrere Anmelde-IDs mit unterschiedlichen Option/Wert-Paaren anzugeben, listen Sie sie in separaten LOGNAME-Einträgen auf.

Der restriktivste LOGNAME-Eintrag ist ein Eintrag ohne Option/Wert-Paare. Der Zugriff des fernen Systems auf das lokale System wird dann durch die folgenden Standardberechtigungen definiert:

  • Das ferne System kann keine Dateien in der Warteschlange vom lokalen System empfangen.
  • Das lokale System kann keine Arbeit in der Warteschlange an das aufrufende ferne System senden, wenn das ferne System seine aktuellen Operationen abgeschlossen hat. Stattdessen kann die Arbeit in der Warteschlange nur gesendet werden, wenn das lokale System Kontakt zum fernen System aufnimmt.
  • Das ferne System kann Dateien nur an das öffentliche BNU-Verzeichnis (/var/spool/uucppublic/Syste mName) auf dem lokalen System senden (schreiben) oder von dort übertragen (lesen).
  • Benutzer auf dem fernen System können nur die Standardbefehle auf dem lokalen System ausführen. (Der Standardbefehlssatz enthält nur den Befehl E-Mail , den Benutzer implizit ausführen, indem sie den Befehl Mail absetzen.)

Um diese Standardwerte zu überschreiben, schließen Sie Option/Wert-Paare in den Eintrag LOGNAME ein.

Anmerkung: Eine Anmelde-ID kann nur in einem LOGNAME-Eintrag vorkommen. Wenn ein einzelner Eintrag für eine Anmelde-ID vorhanden ist, reicht dieser Eintrag allein für alle fernen Systeme aus, die diese Anmelde-ID verwenden.

Achtung: Gestattet fernen Systemen die Anmeldung am lokalen System mit der UUCP -Anmelde-ID, wird die Sicherheit Ihres Systems ernsthaft gefährdet. Ferne Systeme, die mit der ID UUCP angemeldet sind, können die lokalen Dateien Systeme und Berechtigungen anzeigen und möglicherweise ändern (abhängig von den anderen im LOGNAME-Eintrag angegebenen Berechtigungen). Es wird dringend empfohlen, weitere BNU-Anmelde-IDs für ferne Systeme zu erstellen und die UUCP -Anmelde-ID für die Person zu reservieren, die für die Verwaltung von BNU auf dem lokalen System verantwortlich ist. Jedes ferne System, das das lokale System kontaktiert, sollte über eine eindeutige Anmelde-ID mit einer eindeutigen UID verfügen.

MACHINE-Eintrag

Die Datei Berechtigungen enthält einen Eintrag MACHINE für jedes ferne System, zu dem das lokale System eine Verbindung herstellen darf. Die im Eintrag MACHINE angegebenen Zugriffsberechtigungen wirken sich auf den Zugriff des fernen Systems auf das lokale System aus, wenn das lokale System Kontakt zum fernen System aufnimmt. Der Eintrag MACHINE hat das folgende Format:

M ACHINE=Systemname [ : Systemname...] [Option=Wert . . .]

ODER

MACHINE=ANDERE [Option=Wert . . .]

Der restriktivste Typ des Eintrags MACHINE, der die Standardberechtigungen verwendet, ist:

M ACHINE=Systemname [ : Systemname...]

Die Systemnamen werden durch einen Doppelpunkt getrennt. Der Eintrag enthält keine Leerzeichen oder Tabulatorzeichen. Es gibt keine Option/Wert-Paare, die angeben, dass der Zugriff des fernen Systems auf das lokale System durch die folgenden Standardberechtigungen definiert wird:

  • Das ferne System kann keine lokalen Systemdateien empfangen, die zur Ausführung auf dem aufrufenden fernen System in die Warteschlange gestellt wurden.
  • Das ferne System kann mit Ausnahme der Dateien im öffentlichen Verzeichnis auf dem lokalen System nicht auf Dateien zugreifen (lesen).
  • Das ferne System kann Dateien nur an das lokale öffentliche Verzeichnis senden (schreiben).
  • Das ferne System kann nur die Befehle im Standardbefehlssatz auf dem lokalen System ausführen.

Um diese Standardwerte zu überschreiben, schließen Sie Option/Wert-Paare in den Eintrag LOGNAME ein.

Die Liste SystemName in einem MACHINE-Eintrag kann verschiedene ferne Systeme enthalten. Ein MACHINE-Eintrag kann auch Folgendes sein:

MACHINE=ANDERE [Option=Wert . . .]

Dabei steht das Wort OTHER für einen Systemnamen. Dadurch werden Zugriffsberechtigungen für ferne Systeme definiert, die nicht in den vorhandenen MACHINE-Einträgen in einer Berechtigungen -Datei angegeben sind. Der Eintrag MACHINE=ANDERE ist unter den folgenden Umständen nützlich:

  • Wenn Ihre Installation eine große Anzahl ferner Systeme umfasst, die das lokale System regelmäßig für Uucico -und Uuxqt -Dämontransaktionen kontaktiert.
  • Wenn es gelegentlich erforderlich ist, den Standardbefehlssatz zu ändern, der in der Option COMMANDS im Eintrag MACHINE angegeben ist.

Anstatt separate MACHINE-Einträge für jede große Gruppe von fernen Systemen zu erstellen, richten Sie einen MACHINE=ANDERE -Eintrag ein, der die entsprechenden Befehle enthält, die im Optionseintrag COMMANDS angegeben sind. Wenn es dann erforderlich wird, den Standardbefehlssatz zu ändern, ändern Sie die Liste der Befehle in nur einem Eintrag und nicht in zahlreichen Einträgen. Normalerweise gibt ein Eintrag MACHINE=ANDERE auch restriktivere Optionswerte für die nicht identifizierten fernen Systeme an.

Anmerkung: Das lokale System kann kein fernes System aufrufen, das nicht nach Namen in einem Eintrag MACHINE aufgelistet ist, es sei denn, die Datei Berechtigungen auf dem lokalen System enthält einen Eintrag MACHINE=ANDERE .

Option/Wert-Paare

Option/Wert-Paare können mit den Einträgen LOGNAME und MACHINE verwendet werden. Die Standardberechtigungen sind restriktiv, können aber mit einem oder mehreren Option/Wert-Paaren geändert werden. Diese Optionen ermöglichen es verschiedenen fernen Systemen, auf das lokale System zuzugreifen, wenn der BNU-Dateitransport und die Befehlsausführungsprogramme verwendet werden.

Option CALLBACK

Die Option CALLBACK, die in LOGNAME-Einträgen enthalten ist, gibt an, dass keine Dateiübertragungstransaktionen stattfinden, bis das lokale System Kontakt zum fernen Zielsystem aufnimmt. Die Option CALLBACK hat eines der folgenden Formate:

CALLBACK=nein

ODER

CALLBACK=ja
Anmerkung: Wenn zwei Systeme beide die Option CALLBACK=ja in ihren jeweiligen Berechtigungen -Dateien enthalten, können sie nicht über BNU miteinander kommunizieren.

Der Standardwert CALLBACK=neingibt an, dass das ferne System Kontakt zum lokalen System aufnehmen und mit der Übertragung von Dateien beginnen kann, ohne dass das lokale System die Operationen einleitet.

Verwenden Sie für eine größere Sicherheit die Option CALLBACK=ja , um anzugeben, dass das lokale System Kontakt zum fernen System aufnehmen muss, bevor das ferne System Dateien an das lokale System übertragen kann.

Wenn Sie die Option CALLBACK=ja in den LOGNAME-Eintrag einschließen, müssen Sie auch über einen MACHINE-Eintrag für dieses System verfügen, damit Ihr System ihn zurückrufen kann. Sie können einen MACHINE=ANDERE -Eintrag haben, damit Ihr System jedes ferne System aufrufen kann, einschließlich des Systems, für das die Option CALLBACK=ja angegeben ist.

Der Standardwert CALLBACK=neinist im Allgemeinen für die meisten Standorte ausreichend.

COMMANDS, Option

Die Option COMMANDS, die nur in einem MACHINE-Eintrag enthalten ist, gibt die Befehle an, die die in diesem MACHINE-Eintrag aufgelisteten fernen Systeme auf dem lokalen System ausführen können. Die Option COMMANDS hat das folgende Format:

COM MANDS=Befehlsname [ : Befehlsname...]

ODER

BEFEHL = ALLE

Der Standardwert ist COMMANDS=rmail:uucp. Standardmäßig können ferne Systeme nur die Befehle E-Mail und UUCP auf dem lokalen System ausführen. (Benutzer geben den Befehl Mail ein, der dann den Befehl E-Mail aufruft.)

Die in der Option COMMANDS aufgelisteten Befehle überschreiben den Standardwert. Sie können auch Pfadnamen zu den Positionen auf dem lokalen System angeben, an denen Befehle, die von Benutzern auf fernen Systemen ausgegeben werden, gespeichert werden. Die Angabe von Pfadnamen ist hilfreich, wenn der Standardpfad des Uuxqt -Dämons nicht das Verzeichnis enthält, in dem sich ein Befehl befindet.

Hinweis: Der Standardpfad des Dämons uuxqt enthält nur das Verzeichnis /usr/bin .

Damit ein bestimmtes fernes System alle verfügbaren Befehle auf dem lokalen System ausführen kann, verwenden Sie das Format BEFEHL = ALLE . Gibt an, daß der für das angegebene ferne System verfügbare Befehlssatz alle Befehle enthält, die für Benutzer auf dem lokalen System verfügbar sind.

Anmerkung: Die Option COMMANDS kann die Sicherheit Ihres Systems gefährden. Verwenden Sie es mit äußerster Vorsicht.

Optionen NOREAD und NOWRITE

Die Optionen NOREAD und NOWRITE, die sowohl in LOGNAME-als auch in MACHINE-Einträgen verwendet werden, beschreiben Ausnahmen von Optionen READ und WRITE , indem der Zugriff des fernen Systems auf Verzeichnisse und Dateien auf dem lokalen System explizit untersagt wird.

Die Formate dieser Optionen lauten wie folgt:

N OREAD=Pfadname [ : Pfadname...]

N OWRITE=Pfadname [ : Pfadname...]
Anmerkung: Die mit den Optionen READ, WRITE, NOREAD und NOWRITE eingegebenen Spezifikationen wirken sich auf die Sicherheit Ihres lokalen Systems in Bezug auf BNU-Transaktionen aus.

Optionen READ und WRITE

Die Optionen READ und WRITE, die sowohl in LOGNAME-als auch in MACHINE-Einträgen verwendet werden, geben die Pfadnamen der Verzeichnisse an, auf die derUucico -Dämon zugreifen kann, wenn er Dateien an das lokale System oder vom lokalen System überträgt. Sie können mehrere Pfade für Uucico -Dämonaktivitäten angeben.

Die Standardposition für die Optionen READ und WRITE ist das Verzeichnis /var/spool/uucppublic (öffentliches Verzeichnis BNU) auf dem lokalen System. Die Formate für diese Optionen lauten wie folgt:

READ =Pfadname [ : PathName...]

WR ITE=Pfadname [ : PathName...]

Die Quellendatei, die Zieldatei oder das Verzeichnis muss für die andere Gruppe lesbar oder beschreibbar sein, damit das BNU-Programm darauf zugreifen kann. Legen Sie diese Berechtigungen mit dem Befehl Chmod fest. Ein Benutzer ohne Rootberechtigung kann Berechtigungen, die durch die Optionen READ und WRITE erteilt werden, entziehen, aber dieser Benutzer kann keine Berechtigungen erteilen, die durch diese Optionen verweigert werden.

Wenn die Optionen READ und WRITE in der Datei Permissions nicht vorhanden sind, überträgt das BNU-Programm Dateien nur in das Verzeichnis/var/spool/uucppublic . Wenn Sie in diesen Optionen Pfadnamen angeben, geben Sie jedoch den Pfadnamen für jede Quelle und jedes Ziel ein, einschließlich des Verzeichnisses /var/spool/uucppublic , wenn dem fernen System der Zugriff darauf gewährt werden soll.

Achtung: Spezifikationen mit den Optionen READ, WRITE, NOREAD und NOWRITE wirken sich auf die Sicherheit Ihres lokalen Systems in Bezug auf BNU-Transaktionen aus. Das ferne System kann auch auf die Unterverzeichnisse von Verzeichnissen zugreifen, die in den Optionen READ und WRITE angegeben sind, es sei denn, diese Unterverzeichnisse sind mit NOREAD-oder NOWRITE-Optionennicht zulässig.

REQUEST, Option

Die Option REQUEST, die sowohl in LOGNAME-als auch in MACHINE-Einträgen verwendet wird, ermöglicht einem fernen System, alle Dateien in der Warteschlange zu empfangen, die Arbeit enthalten, die Benutzer auf dem lokalen System angefordert haben, um auf diesem fernen System ausgeführt zu werden. Standardmäßig werden solche Anforderungen nicht zugelassen.

Wenn ein fernes System eine Verbindung zum lokalen System herstellt, um Dateien zu übertragen oder Befehle auszuführen, kann das ferne System auch die Berechtigung zum Empfangen von Dateien anfordern, die auf dem lokalen System zur Übertragung an dieses ferne System oder zur Ausführung auf diesem fernen System in die Warteschlange eingereiht wurden. Dieses Format der Option REQUEST lässt solche Anforderungen zu:

REQUEST = ja

Der Standardwert REQUEST = neinmuss nicht eingegeben werden. Dies gibt an, dass das ferne System keine Anforderungen zum Empfangen von Arbeit in der Warteschlange auf dem lokalen System stellen kann. Das lokale System muss Kontakt zum fernen System aufnehmen, bevor es Dateien überträgt und Befehle in der Warteschlange des lokalen Systems an das ferne System ausführt.

Verwenden Sie die Option REQUEST = ja in den Einträgen LOGNAME und MACHINE, um Benutzern des fernen Systems die Übertragung von Dateien an ein lokales System und die Ausführung von Befehlen auf einem lokalen System bei Bedarf zu ermöglichen. Schränken Sie den Zugriff mit der Option REQUEST = nein ein, sodass das lokale System die Steuerung von Dateiübertragungen und Befehlsausführungen behält, die von fernen Systemen eingeleitet werden.

Anmerkung: Einträge in der Datei Berechtigungen betreffen nur BNU-Transaktionen. Sie haben keine Auswirkungen auf Benutzer ferner Systeme mit gültigen Anmeldungen auf einem lokalen System.

Option SENDFILES

Standardmäßig kann das lokale System in die Warteschlange eingereihte Arbeit nur dann an das ferne System übertragen, wenn das lokale System Kontakt zum fernen System aufnimmt. Wenn ein fernes System jedoch die Übertragung von Dateien an ein lokales System oder die Ausführung von Befehlen auf einem lokalen System beendet, kann dieses lokale System versuchen, Arbeit in der Warteschlange sofort an das aufrufende ferne System zu senden. Verwenden Sie die folgende Option SENDFILES, um eine sofortige Übertragung zu aktivieren:

SENDFILES=ja

Die Option SENDFILES=ja ermöglicht die Übertragung von Arbeit in der Warteschlange vom lokalen auf das ferne System, sobald das ferne System seine Operationen abgeschlossen hat. Der Standardwert SENDFILES=Aufrufgibt an, dass lokale Dateien, die zur Ausführung auf dem fernen System in die Warteschlange gestellt wurden, nur gesendet werden, wenn das lokale System eine Verbindung zum fernen System herstellt.

Hinweis:
  1. Die Option SENDFILES wird ignoriert, wenn sie in einem MACHINE-Eintrag enthalten ist.
  2. Einträge in der Datei Berechtigungen wirken sich nur auf BNU-Transaktionen aus. Sie haben keine Auswirkungen auf Benutzer ferner Systeme mit gültigen Anmeldungen auf einem lokalen System.

Option VALIDATE

Die Option VALIDATE bietet mehr Sicherheit, wenn Befehle in den Standardbefehlssatz aufgenommen werden, die bei der Ausführung durch ein fernes System auf einem lokalen System beschädigt werden könnten. Verwenden Sie diese Option, die nur in einem Eintrag MACHINE zusammen mit einer Option COMMANDS angegeben wird. Die Option VALIDATE hat folgendes Format:

VAL IDATE=Anmeldename [ : LoginName...]

Die Option VALIDATE prüft die Identität des aufrufenden fernen Systems. Wird diese Option in einen Eintrag MACHINE aufgenommen, bedeutet dies, dass das aufrufende ferne System eine eindeutige Anmelde-ID und ein Kennwort für Dateiübertragungen und Befehlsausführungen haben muss.
Anmerkung: Diese Option ist nur sinnvoll, wenn die Anmelde-ID und das Kennwort geschützt sind. Die Bereitstellung einer speziellen Anmeldung und eines Kennworts für ein fernes System, die einen uneingeschränkten Dateizugriff und die Möglichkeit zur Ausführung ferner Befehle ermöglichen, entspricht der Bereitstellung einer normalen Anmeldung und eines Kennworts auf dem lokalen System für jeden Benutzer auf diesem fernen System, es sei denn, die spezielle Anmeldung und das Kennwort sind gut geschützt.

Die Option VALIDATE verknüpft einen Eintrag MACHINE, der eine angegebene Option COMMANDS enthält, mit einem Eintrag LOGNAME, der einer privilegierten Anmeldung zugeordnet ist. Der Dämon Uuxqt , der Befehle im lokalen System für Benutzer auf einem fernen System ausführt, ist nicht aktiv, während das ferne System angemeldet ist. Daher weiß der Uuxqt -Dämon nicht, welches ferne System die Ausführungsanforderung gesendet hat.

Jedes ferne System, das sich an einem lokalen System anmelden darf, hat ein eigenes Spoolverzeichnis auf diesem lokalen System. Nur BNU-Dateitransport-und Befehlsausführungsprogramme dürfen in diese Verzeichnisse schreiben. Beispiel: Wenn der Uucico -Dämon Ausführungsdateien vom fernen System überträgtherazum lokalen Systemzeus, werden diese Dateien in das Verzeichnis/var/spool/uucppublic/heraVerzeichnis auf Systemzeus.

Wenn der Dämon Uuxqt versucht, die angegebenen Befehle auszuführen, bestimmt er den Namen des aufrufenden fernen Systems (hera) aus dem Pfadnamen des Spoolverzeichnisses des fernen Systems (/var/spool/uucppublic/hera). Der Dämon sucht dann in einem MACHINE-Eintrag in der Datei Berechtigungen nach diesem Namen. Der Dämon sucht auch nach den Befehlen, die in der Option COMMANDS in einem Eintrag MACHINE angegeben sind, um festzustellen, ob der angeforderte Befehl auf dem lokalen System ausgeführt werden kann.

Sicherheit

Zugriffssteuerung: Nur ein Benutzer mit Rootberechtigung kann die Datei Berechtigungen bearbeiten.

Beispiele

Im Folgenden finden Sie Beispiele für die Verwendung der Datei Berechtigungen .

Standardzugriff auf ferne Systeme bereitstellen

  1. Um die Standardberechtigungen für jedes System bereitzustellen, das sich alsuucp1, geben Sie Folgendes ein:
    LOGNAME=uucp1
  2. Bereitstellen der Standardberechtigungen für Systemevenus,apolloundathenaGeben Sie bei Aufruf durch das lokale System Folgendes ein:
    MACHINE=venus:apollo:athena

Weniger eingeschränkten Zugriff auf ferne Systeme bereitstellen

  1. Der folgende LOGNAME-Eintrag lässt fernes System zumerlinum mehr Verzeichnisse als nur das Spoolverzeichnis zu lesen und zu schreiben:
    LOGNAME=umerlin READ=/ NOREAD=/etc:/usr/sbin/uucp
WRITE=/home/merlin:/var/spool/uucppublic

    Ein System, das sich als Benutzerumerlinkann alle Verzeichnisse mit Ausnahme der Verzeichnisse /usr/sbin/uucp und /etc lesen, kann aber nur in die Verzeichnisse /home/merlin und öffentliche Verzeichnisse schreiben. Da der Anmeldenameumerlinhat Zugriff auf mehr Informationen als Standard, BNU validiert das System, bevor esmerlinum sich anzumelden.

  2. Das folgende Beispiel ermöglicht ein fernes SystemheraUneingeschränkter Zugriff auf Systemzeusund zeigt die Beziehung zwischen den Einträgen LOGNAME und MACHINE an:
    LOGNAME=uhera REQUEST=yes SENDFILES=yes READ
=/ WRITE=/MACHINE=hera VALIDATE=uhera REQUEST=yes \COMMANDS=ALL READ=/ WRITE=/
    Das ferne Systemherakann an den folgenden Uucico -und Uuxqt -Transaktionen mit dem System teilnehmenzeus:
    • Systemberechtigungherakann anfordern, dass Dateien vom System gesendet werdenzeus, unabhängig davon, von welchem System der Anruf erfolgt ist (REQUEST=yeserscheint in beiden Einträgen);
    • Systemberechtigungzeuskann Dateien an das System sendenherawenn SystemheraKontaktsystemzeus(SENDFILES=yesim Eintrag LOGNAME);
    • Systemberechtigungherakann alle verfügbaren Befehle auf dem System ausführenzeus(COMMANDS=ALLim Eintrag MACHINE);
    • Systemberechtigungherakann aus allen Verzeichnissen und Dateien unter dem Verzeichnis Root auf dem System lesen und in diese schreibenzeus, unabhängig davon, welches System den Anruf absetzte (READ=/ WRITE=/in beiden Einträgen).
    Da die Einträge das Systemheramit relativ unbeschränktem Zugriff auf das Systemzeus, prüft BNU den Protokollnamen, bevor das System zugelassen wirdheraum sich anzumelden.
Anmerkung: Dieser Eintrag ermöglicht den uneingeschränkten Zugriff auf das lokale System durch das ferne System, das im Eintrag MACHINE aufgelistet ist. Dieser Eintrag kann die Sicherheit Ihres Systems gefährden.

LOGNAME-und MACHINE-Einträge kombinieren

  1. Im Folgenden sind die Einträge LOGNAME und MACHINE für das System aufgeführt.hera:
    LOGNAME=uhera REQUEST=yes SENDFILES=yes
MACHINE=hera VALIDATE=uhera REQUEST=yes COMMANDS=rmail:news:uucp
    Da sie dieselben Berechtigungen haben und für dasselbe ferne System gelten, können diese Einträge wie folgt kombiniert werden:
    LOGNAME=uhera SENDFILES=yes REQUEST=yes \
MACHINE=hera VALIDATE=uhera COMMANDS=rmail:news:uucp
  2. LOGNAME-und MACHINE-Einträge, die für mehrere ferne Systeme verwendet werden, können kombiniert werden, wenn sie dieselben Berechtigungen haben. Beispiel:
    LOGNAME=uucp1 REQUEST=yes SENDFILES=yes
MACHINE=zeus:apollo:merlin REQUEST=yes COMMANDS=rmail:uucp
    kann kombiniert werden als:
    LOGNAME=uucp1 REQUEST=yes SENDFILES=yes \MACHINE=zeus:apollo:
merlin COMMANDS=rmail:uucp
    Jede Form der Einträge erlaubt Systemezeus,apolloundmerlindieselben Berechtigungen. Sie haben folgende Möglichkeiten:
    • Am lokalen System anmelden alsuucp1.
    • Führen Sie die Befehle E-Mail und UUCP aus.
    • Fordert Dateien vom lokalen System an, unabhängig davon, welches System den Aufruf gestellt hat.

Zugriff auf nicht benannte Systeme zulassen

Damit Ihr System Systeme aufrufen kann, die nicht nach Namen in einem MACHINE-Eintrag angegeben sind, verwenden Sie einen MACHINE=OTHER-Eintrag wie folgt:

MACHINE=OTHER COMMANDS=rmail

Mit diesem Eintrag kann Ihr System jede Maschine aufrufen. Die aufgerufene Maschine kann die Ausführung des E-Mail -Befehls anfordern. Andernfalls gelten die Standardberechtigungen.

Berechtigungsdateieinträge für drei Systeme

Die folgenden Beispiele zeigen die Berechtigungen -Dateien für drei verbundene Systeme:

auf dem Systemvenus:
LOGNAME=uhera MACHINE=hera \
READ=/ WRITE=/ COMMANDS=ALL \
NOREAD=/usr/secure:/etc/uucp \
NOWRITE=/usr/secure:/etc/uucp
SENDFILES=yes REQUEST=yes VALIDATE=hera
auf dem Systemhera:
LOGNAME=uvenus MACHINE=venus \
READ=/ WRITE=/ COMMANDS=rmail:who:lp:uucp \
SENDFILES=yes REQUEST=yes

LOGNAME=uucp1 MACHINE=OTHER \
REQUEST=yes SENDFILES=yes
auf dem Systemapollo:
LOGNAME=uhera MACHINE=hera \
READ=/var/spool/uucppublic:/home/hera \
REQUEST=no SENDFILES=call

Mit den folgenden Berechtigungen:

  • SystemberechtigungheraAnmeldung am Systemvenusasuhera. Es kann Dateien anfordern oder senden, unabhängig davon, wer den Aufruf eingeleitet hat, und in alle Verzeichnisse mit Ausnahme von /usr/secure und /usr/sbin/ucplesen oder schreiben. Er kann jeden beliebigen Befehl ausführen. Vor dem SystemvenusErmöglicht jedem System die Anmeldung alsuheraüberprüft, um sicherzustellen, dass das Systemhera.
  • SystemberechtigungvenusAnmeldung am Systemheraasuvenus. Nachdem er sich anmeldet, kann er alle Verzeichnisse auf dem System lesen oder schreibenheraund können Befehle anfordern oder senden, unabhängig davon, wer den Anruf eingeleitet hat. Er kann nur die Befehle E-Mail, Wer, Lpund UUCP ausführen.
  • SystemberechtigungheraAnmeldung am Systemapolloasuhera. Nach der Anmeldung kann es Dateien senden, aber Anforderungen zum Empfangen von Dateien werden verweigert. Es kann nur aus dem öffentlichen Verzeichnis und dem Verzeichnis /home/hera lesen und schreiben und nur die Standardliste der Befehle ausführen.
  • SystemberechtigungapolloAnmeldung am Systemheraasuucp1, da es keine eindeutige Anmelde-ID auf dem System hathera. Es kann Dateien anfordern und senden, unabhängig davon, wer den Anruf eingeleitet hat. Es kann nur aus dem öffentlichen Verzeichnis lesen und schreiben (Standardeinstellung) und nur die Standardliste der Befehle ausführen.
    Anmerkung: Dieuucp1Auf System definierte Anmelde-IDherakann von jedem beliebigen fernen System verwendet werden, nicht nur vom Systemapollo. Darüber hinaus ermöglicht das Vorhandensein des Eintrags MACHINE=OTHER das Systemherazum Aufrufen von Maschinen, die nicht an anderer Stelle in der Datei Berechtigungen angegeben sind Wenn Systemheraruft eine unbekannte Maschine auf, die Berechtigungen im Eintrag MACHINE=OTHER werden wirksam.

Dateien

Element Beschreibung
Datei /etc/uucp/Permissions Beschreibt die Zugriffsberechtigungen für ferne Systeme.
Datei /etc/uucp/Systems Beschreibt zugängliche ferne Systeme.
Datei/etc/uucp/Sysfiles Gibt mögliche alternative Dateien für die Datei /etc/uucp/Systems an
Verzeichnis/var/spool/uucppublic Enthält Dateien, die übertragen wurden.