Назад | Перейти на главную страницу

Можете ли вы указать профиль, который хотите использовать в pfexec?

Можете ли вы указать, какой профиль вы хотите использовать для данного пользователя при использовании pfexec, которому было назначено несколько профилей?

Одним из примеров такого использования является то, что мы можем выполнить команду от имени другого пользователя в одном процессе. В exec_attr вы можете указать uid / gid, который будет использоваться для выполнения определенной команды, как в следующем примере записи:

Безопасность службы имен: suser: cmd ::: / usr / sbin / rpc.nsid: uid = 0; gid = 0

В приведенном выше профиле будет использоваться суперпользователь (uid = 0) для выполнения команды rpc.nsid.

В user_attr вы можете указать несколько профилей, как показано ниже: testuser :::: type = normal; profiles = Name Service Security, Object Access Management

Можете ли вы указать напрямую использовать профиль управления доступом к объектам для pfexec?

Из [справочной страницы pfexec (1)] [1]:

Профили ищутся в порядке, указанном в записи пользователя в базе данных user_attr (4). Если одна и та же команда появляется более чем в одном профиле, оболочка профиля использует первую совпадающую запись.

Поэтому, если вы поставите «Управление доступом к объектам» перед «Безопасность службы имен», он будет использовать это вместо этого.