|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
为什么我使用一个命令的时候,系统告诉我找不到该目录,我要如何限制使用者的权限等问题,这些问题其实都不是很难的。
在一个典范的Linux体系中,最少有两个目次或分区坚持着一时文件。个中之一是/tmp目次,再者是/var/tmp。在更新的Linux内核的体系中,还大概有/dev/shm,它是用tmpfs文件体系装载的。
存储一时文件的目次存在着一个成绩,即这些目次能够成为伤害体系平安的僵尸和rootkit的温床。这是由于在多半情形下,任何人(或任何历程)都能够向这些目次写进器材,另有不平安的允许成绩。我们晓得都stickybit,该位能够了解为防删除位。假如但愿用户可以增加文件但同时不克不及删除文件,则能够对文件利用stickybit位。设置该位后,就算用户对目次具有写权限,也不克不及删除该文件。多半Linux刊行版本在一时目次上设置sticky位,这意味着用户A不克不及扫除属于用户B的一个文件,反之亦然。可是,依据文件本身的允许,用户A有大概检察并修正谁人文件的内容。
一个典范的Linux安装将/tmp设置为mode1777,这意味着它设置了sticky位,而且可被一切的用户读取、写进、实行。多半情形下,这好像其设置的平安一样,次要是由于/tmp目次仅仅是一个目次,而不是一个本人的文件体系。/tmp目次依附于/分区,如许一来它也就必需遵守其装载选项。
一个加倍平安的办理计划多是将/tmp设置在其本人的分区上,如许一来它就能够自力于/分区装载,而且能够具有更多的限定选项。/tmp分区的/etc/fstab项目标一个例子看起来是如许的:
/dev/sda7/tmpext3nosuid,noexec,nodev,rw00
这就设置了nosuid、noexec、nodev选项,意味着不同意任何suid程序,从这个分区不克不及实行任何内容,而且不存在设备文件。
你能够扫除/var/tmp目次,并创立一个symlink指向/tmp目次,云云一来,/var/tmp中的一时文件就能够使用这些限定性的装载选项。
/dev/shm假造文件体系也必要保证其平安,这能够经由过程改动/etc/fstab而完成。典范情形下,/dev/shm经由过程defaults选项加载,对包管其平安性是很不敷的。就像/tmp的fstab一样,它应该具有限定性更强的加载选项:
none/dev/shmtmpfsdefaults,nosuid,noexec,rw00
在一个典范的Linux体系中,最少有两个目次或分区坚持着一时文件。个中之一是/tmp目次,再者是/var/tmp。在更新的Linux内核的体系中,还大概有/dev/shm,它是用tmpfs文件体系装载的。
最初,假如你没有才能在现有的驱动器上创立一个最新的/tmp分区,你能够经由过程创立一个loopback文件体系来使用Linux内核的loopback特征,这个文件体系可被装载为/tmp,并可使用不异的限定加载选项。要创立一个1GB的loopback文件体系,必要实行:
#ddif=/dev/zeroof=/.tmpfsbs=1024count=1000000
#mke2fs-j/.tmpfs
#cp-av/tmp/tmp.old
#mount-oloop,noexec,nosuid,rw/.tmpfs/tmp
#chmod1777/tmp
#mv-f/tmp.old/*/tmp/
#rmdir/tmp.old
一旦完成,必要编纂/etc/fstab,以便于在启动时主动加载loopback文件体系:
/.tmpfs/tmpext3loop,nosuid,noexec,rw00
保证得当的允许和利用限定性加裁选项等办法可以避免对体系的很多伤害。假如一个僵尸在一个不克不及实行的文件体系上安了家,那末它从实质上讲也是不值得忧虑的
</p>
vim除非你打算真正的学好linux,或者说打算长久时间学习他,而且肯花大量时间vim,否则,最好别碰 |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-16 12:19:39
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
窥视卡
雷达卡
发表于 2015-3-8 09:11:33
楼主