分类:
2005-07-11 11:34:42
第九章 configuring solaris volume manager software
用metadb命令创建状态数据库,语法结构是:
metadb -a [-f] [-c n] [-l nnnn] disk_slice
-a表示添加一个state database replica
-f表示强制性执行创建状态数据库的操作
-c n表示要添加的replicas的数量
-l nnnn表示新replicas的大小
不带参数的metadb命令指出所有replicas的状态
# metadb -a -f c1t1d0s0 c1t1d0s1 c1t1d0s3
# metadb
用metainit命令强制性创建RAID-0,必须带-f参数,因为根文件系统不能被卸载,语法格式是:
metainit -f concat/stripe numstripes width component,比如:
# /usr/sbin/metainit -f d11 1 1 c0t0d0s0
用metainit命令创建RAID-1,语法格式是:
metainit mirror -m submirror [read_options] [write_options] [pass_num]
-m指定子镜像名称
read_options包括-g和-r,-g代表geometric读选项,-r是all读权限赋予第一个子镜像.如果没有-g或者-r,那么代表round-robin读权限
write_options中S代表执行sirial写权限给子镜像,默认是parallel写权限
例如:# /usr/sbin/metainit d10 -m d11
当对根文件系统做镜像的时候,用metaroot命令来更改/etc/vfstab和/etc/system文件,例如:metaroot device
# metaroot d10
用metattach命令将第二个子镜像挂接
# metattach d10 d12
d10:submirror d12 is attached
卸载根文件系统上的镜像步骤:
1,列出所有镜像的状态:
# metastat d10
2,run the metadetach command on the mirror to make a one-way mirror.
# metadetach d10 d12
3,成为root用户运行metaroot命令来更新/etc/vfstab和/etc/system文件
# metaroot /dev/dsk/c0t0d0s0
# grep c0t0d0s0 /etc/vfstab
4,重启系统
# init 6
5,运行metaclear命令来清除镜像和子镜像
# metaclear -r d10
# metaclear d12
********************************************************************************
第十章 configuring access control lists(ACLs)
每个ACL的语法格式是:
entry-type:[UID or GID]:perm
getfacl filename
setfacl -m acl_entries filename(创建或者更改ACL entries)
setfacl -s acl_entries filename(用新的ACL entries替换旧的)
setfacl -d acl_entries filename(删除)
setfacl -f acl_file filename(替换配置文件)
setfacl -r filename(重新计算mask值)
例如:# getfacl file2
# file:file2
# owner:userc
# group:sysadmin
user::rw-
user:usera:rwx #effective:r--
group::r--
mask:r--
other:r--
在这种情况下,虽然usera被赋予读写执行三种权限,但是因为mask里面只有读权限,所以usera实际可行的只有读权限
将一个ACL从一个文件复制到另一个文件,一般要将getfacl和setfacl命令结合起来,语法格式是:
getfacl filename1 | setfacl -f - filename2,例如:
# getfacl file1 | setfacl -f - file3
创建默认的ACLs
1,setfacl -m d:u::rwx,d:g::r-x,d:o:r-x,d:m:r-x dir1(d代表default)
2,添加一项ACL条目
setfacl -m default:user:usera:rwx dir1
如果一个目录具有ACL,那么在这个目录下创建一个子目录,这个子目录自动具有和目录同样的ACL条目.如果在这个目录下创建一个文件,那么文件的ACL和目录不一样
对目录默认的umask是777,而对文件默认的是666
********************************************************************************
第十一章 configuring role-based access control(RBAC)
rights profiles包括:all,primary administrator,system administrator,operator,basic solaris user,printer management
角色和授权的关系:
primary administrator:
solaris.admin.usermgr.read
solaris.admin.usermgr.write
solaris.admin.usermgr.pswd
system administrator:
solaris.admin.usermgr.read
solaris.admin.usermgr.write
operator:
solaris.admin.usermgr.read
pfsh和sh对应,pfcsh和csh对应,pfksh和ksh对应.shell和profile shell具有同样的inode号
,例如:
# ls -i /usr/bin/sh /usr/bin/pfsh
247741 /usr/bin/pfsh 247742 /usr/bin/sh
RBAC的四个组成部分和对应关系:
user_attr(users or roles),prof_attr(profiles),auth_attr(authorization),exec_attr(privileges)
/etc/user_attr的格式是:
user:qualifier:res1:res2:attr
其中中间三个没有多大用处,attr的值包括type,auths,profiles,roles
/etc/security/prof_attr的格式是:
profname:res1:res2:desc:attr
其中res1和res2是没有用处的,desc是一个描述.attr的值包括help,auths
/etc/security/exec_attr的格式是:
name:policy:type:res1:res2:id:attr
其中name是一个vprofile name,policy的值是suser,type的值是cmd,res1和res2没有用处,id一般是指定一个路径名,attr的值包括euid,uid,egid,gid
/etc/security/auth_attr的格式是:
authname:res1:res2:short_desc:long_desc:attr
/etc/security/policy.conf文件赋予rights profiles和authorizations给所有用户,两个变量是AUTHS_GRANTED=authorization,PROFS_GRANTED=right_profile
命令行下管理RBAC的三个命令是roleadd,rolemod,useradd
1,roleadd命令添加一个role到/etc/passwd,/etc/shadow,/etc/user_attr文件,例如:
# roleadd -m -d /export/home/tarback -c "privileged tar backup role" -P "media backup,media restore" tarback
********************************************************************************
第十二章 performing smartcard authentication
smartcard包含一个微处理器和一个内存芯片
图形化界面操作,考得应该很少
