我建立一个普通用户(shell类型是sh) ,不属于INFORMIX组(也没有告诉用户该机器上INFORMIX的配置) ,也不属于任何系统组 ,只允许该用户访问自己HOME下的东西,不想让他访问INFORMIX 。可是我发现居然该用户路径下多了.lastlogin和.sh_history两个文档 ,.lastlogin是auth组的 ,.profile中也配置了INFORMIX的环境变量 ,从.sh_history看该用户也访问了数据库 。他是如何做的呢? :evil:

CNL 回复于:2004-09-29 10:32:59
用户能够强制修改自己owner的文档啊,.profile当然能够自己改了。
另外informix的帐户目录假如可read,那么他也能够cd过去看看您怎么配的informix了
1、您可登录root,把这个用户.profile的属主改为root,
然后#chmod 644 .profile去掉可写,
这样用户自己只能看不能改.profile了
2、.lastlogin是系统自己产生的审计文档,属主就是auth, 您不用和他过不去了

tomcat8890 回复于:2004-09-29 10:51:52
呵呵 ,偶是疑心过重了 ,以至于连一些基本判断思路都乱了 ,谢谢

tomcat8890 回复于:2004-09-29 10:54:50
但我更有一个地方不明白 ,就是他的.sh_history ,我印象bsh没有啊 ,他如何产生的呢?

meteor06 回复于:2004-09-29 11:02:18
您可登录root,把这个用户.profile的属主改为root,
然后#chmod 644 .profile去掉可写,
这个不是太有用啊,改变环境变量不一定非要用.profile 啊,
用其他方式仍然能够作到,只是麻烦了一些
不如将informix 的.profile 的其他组用户的读权限去掉

tomcat8890 回复于:2004-09-29 11:09:13
现在我的INFORMIX的.profile只是600的权限啊 ,这是默认的 ,而且我用另外一个用户测试连/usr/informix都进不去 ,报$ cd /usr/informix
/usr/informix: permission denied ,他也应该相同啊;此外 ,您还是没回答.sh_history的问题

CNL 回复于:2004-09-29 11:10:14
.sh_history是系统自动记录的用户历史操作,供管理员审查用

tomcat8890 回复于:2004-09-29 11:15:34
可是其他用户没有啊 ,我也印象bsh没有的 ,他应该获得了一些额外的权限吧

sylssgw 回复于:2004-09-29 13:56:05
该用户类型为ksh,.sh_history该文档记录的为该用户所执行的历史命令,您能够vi /etc/passwd看该用户的shell类型