|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!本文谈两个很简单被无视,又偶然会俄然蹦出来,给我们设置办事器形成困扰的权限办理成绩。
1、太宽的权限
有些办事对权限的请求会是一个区间,小了不可,年夜了也不可。假如这个文件被付与的权限不敷,那末一定不克不及利用;可是,假如这个文件被付与的权限太多了,一样不克不及一般利用。
举例:
成绩征象:test帐号利用key没法登录某ssh办事器,而同呆板下的test2帐号却能够登录。
检察文件权限:
test@client:~$ls-l~/.ssh/
-rw-------1testtest16752010-03-2515:15id_rsa
检察了客户端及办事器真个.ssh目次下的公钥与私钥权限,能够看出,并没有成绩。
私钥必需是600权限,而公钥最少是644大概更严厉的权限,这都切合,但仍然没法登录。
test@server:~$ls-la~|grep-w.ssh
drwxr-xr-x2testtest4.0K12-2316:59.ssh
检察了办事器真个.ssh目次权限,是755,也是没成绩的,ssh办事器请求在利用key登录时.ssh目次的权限必需是其他用户不成写。
一入手下手其实想不明为啥test2帐号利用key能够登录,test帐号利用key没法登录,ssh_config和sshd_config。
在反省了多遍后的确没有成绩,最初在办事器端对照两个帐号的分歧时,发明了可疑的中央。
$ls-l/home/
drwxrwxrwx3testtest40962009-12-3117:31test
drwxr-xr-x6test2test240962010-03-2315:59test2
两个帐号的home目次权限分歧,test帐号是777,test2帐号是755,会不会是这里分歧招致的?在办事器端把test目次修正成755后,办理成绩。
缘故原由注释:
ssh办事器的key体例登录对权限请求严厉。关于客户端:私钥必需为600权限大概更严厉权限(400),一旦其他用户可读,私钥就不起感化(如640),体现为体系以为不存在私钥。
关于办事器端:请求必需公钥其他用户不成写,一旦其他用户可写(如660),就没法用key登录,体现为:Permissiondenied(publickey)。
同时请求.ssh目次其他用户不成写,一旦其他用户可写(如770),就没法利用key登录,体现为:Permissiondenied(publickey)。
不但.ssh目次,更下层的目次的权限一样会有影响。
home顶用户目次的可写,暗示其他用户对.ssh子目次也有改写的权限(删除或重下令),也就招致ssh判别.ssh为其他用户可写,回绝利用key登录。
2、悄然启动的centos
假如你设置某项办事,可是不管怎样界说设置文件,有些端口一直不克不及翻开,大概文件没法会见到,那末这时候你要当心是selinux在捣乱。
举例:
成绩征象:设置apache上的目次能够会见,却一直提醒你没有权限。
apache上的设置:
Alias/hello.html/web/hello.html
<Directory/web>
Orderdeny,allow
Allowfromall
</Directory>
怎样查都没有成绩,文件权限也对,这时候能够思索查一下selinux的权限。
#ls-Z/web/
-rw-r--r--.rootrootunconfined_u:object_r:admin_home_t:s0hello.html
本来/web目次不克不及被apache内建的用户会见。
缘故原由注释:
默许情形下,selinux限定了apache能够会见的目次,默许仅能在/var/www/上面读写文件。这也难怪,我们只设置apache和文件权限没有任何感化了。
要想完成对/web/目次下的文件读取,必需修正selinux的设置。
实在不止是文件权限,包含办事可使用的端口、动静接口等,selinux都有默许限定。假如你设置办事碰到稀里糊涂的成绩,看一下centos吧
欢迎大家来到仓酷云论坛! |
|