Solaris可以支持三种正常的shell,Bourne Shell ( /bin/sh或/sbin/sh )、C Shell ( /bin/csh )和Korn Shell ( /bin/ksh )。使用这些作为登录shell时,用户的权限仅由文件的读、写、执行权限和ACL控制。这种控制方式比较简单,文件明确规定了主人、同组人和他们的权限,而所有其他人都用第三组权限。这很难划分比较细致的权限级别,在很多情况下这不能满足管理员的要求。 管理员可能希望设置某些特殊用户,某用户只管关机;某用户只能通过POP3使用邮件服务,该用户登录的唯一目的是改自己的口令;某个用户只能在家目录下创建文件(比如通过FTP下载文件),不能修改已有文件,不能浏览文件系统、不能删除文件…… 所有这些都可以在登录shell上做文章。 例一, 一个关机用户 要关机,必须有关机权限。什么人有关机权限?root。但不能把root口令告诉普通用户,怎么办?创建一个特殊的超级用户,他的登录shell是一个定制的文件:一条关机命令。具体做法如下: # vi /etc/passwd shutdown:x:0:1:shutdown user:/:/bin/shutdown 添加一个用户 # vi /etc/shadow shutdown:::::::: # vi /bin/shutdown /usr/sbin/shutdown -y -g0 -i5 把别的用户logout,试着用shutdown用户登录。输入完用户名和口令后,系统就开始关机。 例二, 一个邮件用户,该用户登录时只能改口令 比如此用户为user1,添加完该用户后,修改他的登录shell,方法如下: # vi /etc/passwd user1:x:……..:/bin/passwd 试着从另外一台机器telnet过来,有什么现象?用户一登录上来,系统就让用户改口令。改完后,网络连接自动断掉。 例三, 一个用户只能在家目录下创建文件(比如通过ftp下载文件),不能修改已有文件,不能浏览文件系统、不能删除文件…… 这种用户的实现可以借助于一种/usr/lib/rsh称为restricted shell的文件。这种shell其实是Bourne shell的一种变形。除了以下特点以外,它和Bourne shell完全相同: 使用此种shell的用户不能: 改变自己的工作路径,因此只能呆在家目录下; 不能修改PATH变量,所以一旦PATH被管理员设定后,用户只能执行指定目录下的命令; 指明路径和命令时不能用“/”; 不能重定向输出。 这样,为了实现上面规定的功能,可以按下面的做法: 1. 首先按一般方法( admintool )创建此用户,但登录shell写/usr/lib/rsh 2. 修改其家目录下的.profile文件,最重要的是其中的PATH变量,例如: PATH= . ; eXPort PATH 3. # cp –p /usr/bin/ftp . # cp –p /usr/bin/telnet . # cp –p /usr/bin/ls . # cp –p /usr/bin/pwd . # cp –p /usr/bin/more . # cp –p /usr/bin/file . 拷贝一系列该用户需要使用的命令到其家目录下。但是切记不要包括rm 、vi等有可能使用户自己修改.profile的命令。
(出处:http://www.sheup.com)