10.1.3  at命令的访问控制

　　/etc/at.allow和/etc/at.deny文件可以用来限制对at令的使用，所以可以编辑/etc/cron.d/at.deny文件并添加要禁止其使用at命令的用户名，每行一个用户名。

　　查看/etc/cron.d/at.deny文件。使用命令：

　　# cat /etc/cron.d/at.deny

　　daemon

　　bin

　　nuucp

　　listen

　　nobody

　　noaccess

　　应用实例如下。

　　如果不希望一个用户（cjh）使用at命令，在/etc/cron.d/at.deny添加一行：

　　cjh

　　即可。

　　重新查看/etc/cron.d/at.deny文件，使用命令：

　　# cat /etc/cron.d/at.deny

　　daemon

　　bin

　　nuucp

　　listen

　　nobody

　　noaccess

　　cjh

　　下面验证at命令访问已被拒绝。

　　要验证是否已将用户名正确添加到/etc/cron.d/at.deny文件，请在以该用户身份登录后使用at-l命令。如果用户cjh不能访问at命令，则将显示以下消息。

　　# su cjh

　　Password:

　　$ at -l

　　at: you are not authorized to use at.  Sorry.

　　类似地，如果该用户尝试提交at作业，则将显示以下消息：

　　$ at 2:30pm

　　at: you are not authorized to use at.  Sorry.

　　/etc/at.allow和/etc/at.deny文件规则判断：

　　如果at.allow文件存在，只有其中列出的用户才能使用at命令，at.deny文件会被忽略。

　　如果at.allow文件不存在，所有在at.deny文件中列出的用户都被禁止使用at命令。

　　如果at.allow和at.deny文件都不存在，只有root用户才能使用at命令。

　　at.allow比at.deny优先级高。