跳到主要內容

Solaris 10利用RBAC加強root帳號安全性

Solaris有支援Rose-Based Access Control(RBAC),
以增加權限控管的彈性,新增了角色(Role)的機制。

因為系統的管理可能有多人,因此root的密碼可能被分享,
但是root是系統的超級管理員,擁有系統所有的權限,
而且登入時只以root登入,發生問題時根本無法得知身分。

所以我們可以將root由使用者身分轉變為角色,其特點如下:
1、角色不能直接登入系統,只能用su切換角色,換句話說,
   使用者只能用自己的帳號登入,不能用root登入。
2、因為只能用自已的帳號登入後再切換為root角色,
   所以可以由/var/adm/sulog得知是誰切換的。
3、就算使用者知道root角色的密碼(角色必須設定密碼),
   但是系統並未授予帳號root角色時,該帳號無法切換root。

-----------------------------------------------------------------
設定root轉換為角色方法如下:

1、新增一個使用者帳號(如已有使用者帳號可省略)
   # useradd -m -d /export/home/admin1 admin1
   # passwd admin1
2、將root由使用者身分轉變為角色
   # usermod -K type=role root
3、將root角色指派給新建立的使用者:
   # usermod -R root admin1
-----------------------------------------------------------------
 
完成之後,可以查看/etc/user_attr內的設定改變:

# grep root /etc/user_attr
root::::type=role;auths=solaris.* ...略

# grep admin1 /etc/user_attr
admin1::::type=normal;roles=root

接著我們以putty軟體,驗證root無法登入:
login as: root
Using keyboard-interactive authentication.
Password:
Access denied

只能以admin1登入後,再以su - root切換角色
login as: admin1
Using keyboard-interactive authentication.
Password:
Last login: Thu Apr  9 14:27:55 2015 from 192.168.1.39
Oracle Corporation SunOS 5.10 Generic Patch January 2005
$ su - root
Password:
# id
uid=0(root) gid=0(root)


查看/var/adm/sulog,可以發現帳號的切換情況:
SU 04/09 14:27 + pts/3 admin1-root

在設定上有一點需要特別注意,當root轉變為角色後,
最少要把一個使用者帳號加入root角色,否則一但root登出後,
因為沒有任何帳號擁有root角色,加上root角色又無法登入,
會導致無法使用root權限,只能重開到單機模式(Singel-User),
再以root身份直接登入,重新指派後再正常開機了。

---------------------------------------------------------------
還原root角色為帳號的方法如下:

1、將所有擁有root角色的使用者退出root角色:
   # usermod -R "" admin1

2、將root由角色轉換為帳號:
   # rolemod -K type=normal root
-----------------------------------------------------------------

查看/etc/user_attr內的設定改變:
# grep root /etc/user_attr
root::::type=normal;auths=solaris.*,solaris.grant ...略

從Solaris 11開始,root帳號在圖形安裝介面下預設就一定是角色了,

留言

這個網誌中的熱門文章

Shell Script簡易教學

一、概論
在許多的情況之下,我們都需要固定一組可以重覆或判斷資訊的指令,
而把這些指令存被在文字檔中,再交由Shell執行,就是Script。
一般會將Shell Script的副檔名命名為.sh,雖然副檔名在Linux中並非必要,
但是有副檔名可以讓我們更容易管理這些檔案。

假設有一個名為test.sh 的 Shell Script,首先用文字編輯器來撰寫內容如下:
#!/bin/bash
echo Hello World

第一行是必需的,它是用來定義你要使用的 shell。Linux中有許多的Shell可以使用,
如:ksh、bash,但是彼此之間語法有所差異,所以我們首先需要定義使用哪一個Shell。
而第二行的 echo 代表列出一個字串,預設會把後面的字串「Hello World」顯示在螢幕上。
將test.sh存檔後,可以用下列其中一種方式執行它:
1、直接輸入 sh test.sh
2、改變test.sh的權限,加上可以執行的權限,
   chmod a+x test.sh
   接著直接執行它:
   ./test.sh

在Shell Script中,「#」表示註解,在#後面將視為註解並且被程式忽略。
例如:
#pwd
ls -l
Shell只會執行ls -l,而不會執行ls -l

而「;」 則代表指令的分隔,例如:
pwd;ls -l

pwd
ls -l
都是一樣執行pwd及ls -l。

二、變數的使用
在Shell Script中,所有的變數都視為字串,因此不需要在定義變數類型。
在Shell中定義和使用變數時並不一樣。
例如,定義一個變數id並且設定值為2013001,接著還要將印出變數的值:
id=2013001 -> 定義變數時前面不加「$」符號
echo $id   -> 使用變數時前面要加「$」符號
注意,在等號的二邊不可以有空白,否則將出現錯誤。

再介紹一個範例:
dir=/home/oracle
ls $dir

這裡我們定義了變數dir的值為/home/oracle,接著用ls指令來印出變數dir,
此時指令會變為ls /home/oracle,所以就把目錄中所有檔案都列出來。


我們再來看一個例子,說明如何使用變數來定義變數:
$ tmppath=/tmp$ tmpfile=$tmppath/abc.txt$ ec…

用Excel 2010製作免費甘特圖

用Excel 2010製作免費甘特圖,以下是完成圖,其實是用圖表的功能加上修改圖表的選項來仿製甘特圖,
並非真正的甘特圖,如果要用免費的甘特圖軟體,可以下載GanttProject,有支援中文。
官方網址:http://www.ganttproject.biz/

首先將任務、開始日期、天數、完成日期填入工作表中,完成計劃後將資料全選,並在工具列上找到橫條圖。
一定要將資料全選起來,不然Excel有可能會判斷錯誤,畫出不符我們需求的圖表
(日期我算錯了,不過不影響製作,可以事後再修改)

圖表出現之後,修改資料的範圍(藍色框的部份),將資料由D6拉到C6。
「完成日期」只是為了讓Excel一開始不要判斷錯誤而產生錯誤的圖表。

在「藍色線條」上按滑鼠右鍵,選擇「資料數列格式」

依下圖點選「無填滿」,把藍色的線條變成透明,讓圖表看起來像是甘特圖。

接著我們要修改欄、列的參數,在下面日期的部份點選滑鼠右鍵,選「座標軸格式」

下方列是日期,所以選「日期」,並選擇一個類型

再來到「座標軸選項」中設定最小、最大值,讓圖表看起來更像甘特圖,其中最小值、最大值的數字,
是由1900/1/1到指定日期的總天數,例如:2014/4/9-1900/1/1=41737天(可用Excel直接相減得出數值)
「主要刻度間距」改為1,也就是間距為1天

接著回到圖表上,在左方任務列上按滑鼠右鍵,選擇「座標軸格式」

這次只選「類別次序反轉」,會把任務上下翻轉。

最後再將圖表的寬度、長度做一個調整就完成了。

補充說明: 如果遇到下列的情形,圖表的內容相反的話,可以按下「切換列/欄」來改變

Excel可以自訂公式(函數)來補足內建公式(函數)無法處理的情形

Excel有許多實用的公式,善用這些公式可以達成大部份的功能,但是萬一公式無法滿足需求時,可以自訂公式來解決。

          自訂公式其實就是自訂函數,先開啟Visual Basic(VBA)


                     新增一個「模組」


在開啟的模組視窗內撰寫VBA的函數程式,例如:

Function TEST01(A, B)
    TEST01 = A * 10 + B * 20
End Function

                    函數TEST01需要兩個參數A、B,並且將計算的結果回傳。



完成上述的設計之後,就可以在插入函數中選擇使用者定義,再選擇TEST01。
(或直接在儲存格輸入函數名稱TEST01)
反正使用的方法就跟一般的Excle的公式一樣就對了。