问一个安全方面问题。。。。

larryh

把他的SHELL改为/bin/ksh -r

johnsons

larryh，我刚才修改了test用户的.profile，加了一行/usr/bin/ksh -r，然后用test登陆就发现该用户无法切换目录了，但是我发现了一个新的问题，如果我敲入exit，然后就发现可以执行cd /之类的，如何解决？

johnsons

刚才修改了/usr/lib/security/mkuser.default中的shell默认值，还是会出现可以通过exit跳出限制的问题。

johnsons

已经彻底解决，我发现可以通过修改/etc/passwd文件中对应用户的SHELL,就不会出现上面的问题了，完全解决！！！

老农a

谢谢，帮大家验证了一些问题：）
larryh 就是厉害：）

larryh

呵呵，刚巧，以前有人提出过这样的要求。当时想到只有在shell里加限制能解决问题，但是TCB实在限制太多，太麻烦，就看看各个shell有没有这样的功能，看到ksh -r参数，搞定。

这个用SMIT改用户属性还不行，SMIT不允许默认shell的执行命令带参数，必须手工改/etc/passwd

johnsons

多谢larryh和老农兄积极参与，以后大家多多切磋。。。呵呵。

高山流云

[quote]原帖由 "johnsons"]larryh，我刚才修改了test用户的.profile，加了一行/usr/bin/ksh -r，然后用test登陆就发现该用户无法切换目录了，但是我发现了一个新的问题，如果我敲入exit，然后就发现可以执行cd /之类的，如何解决？[/quote 发表：


你在此过程中打开了两个shell，一个在/etc/passwd的shell，一个为.profile中的shell，即为此用户的子shell。你用exit退出时，退出到了基本的shell即在/etc/passwd中设置shell中了。

高山流云

[quote]原帖由 "johnsons"]已经彻底解决，我发现可以通过修改/etc/passwd文件中对应用户的SHELL,就不会出现上面的问题了，完全解决！！！[/quote 发表：

不会完全解决吧，当你开一个子shell时，就可以重新切换到/目录下
$sh
$cd /
！！！！！！！！！

老农a

有道理。
还得限制他起新的shell。。。。