仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 551|回复: 8
打印 上一主题 下一主题

[CentOS(社区)] 给大家带来CentOS文件体系宁静

[复制链接]
深爱那片海 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-14 20:20:07 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!1、锁定体系主要文件
体系运维职员偶然候大概会碰到经由过程root用户都不克不及修正大概删除某个文件的情形,发生这类情形的年夜局部缘故原由多是这个文件被锁定了。在Linux下锁定文件的下令是chattr,经由过程这个下令能够修正ext2、ext3、ext4文件体系下文件属性,可是这个下令必需有超等用户root来实行。和这个下令对应的下令是lsattr,这个下令用来查询文件属性。
经由过程chattr下令修正文件大概目次的文件属功能够进步体系的宁静性,上面复杂先容下chattr和lsattr两个下令的用法。
chattr下令的语法格局以下:
chattr[-RV][-vversion][mode]文件或目次

次要参数寄义以下:
-R:递回修正一切的文件及子目次。
-V:具体显现修正内容,并打印输入。
个中mode局部用来把持文件的属性,经常使用参数以下表所示:

参数寄义
+在原有参数设定基本上,追加参数
-在原有参数设定基本上,移除参数
=更新为指定参数
a即append,设定该参数后,只能向文件中增加数据,而不克不及删除。经常使用于办事器日记文件宁静,只要root用户才干设置这个属性
c即compresse,设定文件是不是经紧缩后再存储。读取时必要经由主动解压操纵
i即immutable,设定文件不克不及被修正、删除、重定名、设定链接等,同时不克不及写进或新增内容。这个参数关于文件体系的宁静设置有很年夜匡助
s宁静的删除文件或目次,即文件被删除后硬盘空间被全体发出
u与s参数相反,当设定为u时,体系会保存其数据块以便今后可以规复删除这个文件。这些参数中,最经常使用到的是a和i,a参数经常使用于办事器日记文件宁静设定,而i参数更加严厉,不同意对文件举行任何操纵,即便是root用户

lsattr用来查询文件属性,用法对照复杂,其语法格局以下:
lsattr[-adlRvV]文件或目次
经常使用参数以下表所示。

参数寄义
-a列出目次中的一切文件,包含以.开首的文件
-d显现指定目次的属性
-R以递回的体例列出目次下一切文件及子目次和属性值
-v显现文件或目次版本

在Linux体系中,假如一个用户以root的权限登录大概某个历程以root的权限运转,那末它的利用权限就不再有任何的限定了。因而,打击者经由过程近程大概当地打击手腕取得了体系的root权限将是一个劫难。在这类情形下,文件体系将是回护体系宁静的最初一道防地,公道的属性设置能够最年夜限制地减小打击者对体系的损坏水平,经由过程chattr下令锁定体系一些主要的文件或目次,是回护文件体系宁静最间接、最无效的手腕。
对一些主要的目次和文件能够加上“i”属性,罕见的文件和目次有:
chattr-R+i/bin/boot/lib/sbin
chattr-R+i/usr/bin/usr/include/usr/lib/usr/sbin
chattr+i/etc/passwd
chattr+i/etc/shadow
chattr+i/etc/hosts
chattr+i/etc/resolv.conf
chattr+i/etc/fstab
chattr+i/etc/sudoers

对一些主要的日记文件能够加上“a”属性,罕见的有:
chattr+a/var/log/messages
chattr+a/var/log/wtmp
对主要的文件举行加锁,固然可以进步办事器的宁静性,可是也会带来一些方便,比方,在软件的装置、晋级时大概必要往失落有关目次和文件的immutable属性和append-only属性,同时,对日记文件设置了append-only属性,大概会使日记轮换(logrotate)没法举行。因而,在利用chattr下令前,必要分离办事器的使用情况来衡量是不是必要设置immutable属性和append-only属性。
别的,固然经由过程chattr下令修正文件属功能够进步文件体系的宁静性,可是它其实不合适一切的目次。chattr下令不克不及回护/、/dev、/tmp、/var等目次。
根目次不克不及有不成修正属性,由于假如根目次具有不成修正属性,那末体系基本没法事情:/dev在启动时,syslog必要删除偏重新创建/dev/log套接字装备,假如设置了不成修正属性,那末大概出成绩;/tmp目次会有良多使用步伐和体系步伐必要在这个目次下创建一时文件,也不克不及设置不成修正属性;/var是体系和步伐的日记目次,假如设置为不成修正属性,那末体系写日记将没法举行,以是也不克不及经由过程chattr下令回护。
固然经由过程chattr下令没法回护/dev、/tmp等目次的宁静性,可是有别的的***能够完成,在面将做具体先容。

2、文件权限反省和修正
不准确的权限设置间接威逼着体系的宁静,因而运维职员应当能实时发明这些不准确的权限设置,并立即修改,防患于已然。上面枚举几种查找体系不宁静权限的***。
(1)查找体系中任何用户都有写权限的文件或目次
查找文件:find/-typef-perm-2-o-perm-20|xargsls-al
查找目次:find/-typed-perm-2-o-perm-20|xargsls–ld
(2)查找体系中一切含“s”位的步伐
find/-typef-perm-4000-o-perm-2000-print|xargsls–al
含有“s”位权限的步伐对体系宁静威逼很年夜,经由过程查找体系中一切具有“s”位权限的步伐,能够把某些不用要的“s”位步伐往失落,如许能够避免用户滥用权限或提拔权限的大概性。
(3)反省体系中一切suid及sgid文件
find/-userroot-perm-2000-print-execmd5sum{};
find/-userroot-perm-4000-print-execmd5sum{};
将反省的了局保留到文件中,可在今后的体系反省中作为参考。
(4)反省体系中没有属主的文件
find/-nouser-o–nogroup
没有属主的孤儿文件对照伤害,常常成为黑客使用的工具,因而找到这些文件后,要末删撤除,要末修正文件的属主,使其处于宁静形态。

3、/tmp、/var/tmp、/dev/shm宁静设定

在Linux体系中,次要有两个目次或分区用来寄存一时文件,分离是/tmp和/var/tmp。存储一时文件的目次或分区有个配合点就是一切用户可读写、可实行,这就为体系留下了宁静隐患。打击者能够将病毒大概木破绽本放光临时文件的目次下举行信息搜集或假装,严峻影响办事器的宁静,此时,假如修正一时目次的读写实行权限,另有大概影响体系上使用步伐的一般运转,因而,假如要分身二者,就必要对这两个目次或分区就行特别的设置。
/dev/shm是Linux下的一个同享内存装备,在Linux启动的时分体系默许会加载/dev/shm,被加载的/dev/shm利用的是tmpfs文件体系,而tmpfs是一个内存文件体系,存储到tmpfs文件体系的数据会完整驻留在RAM中,如许经由过程/dev/shm就能够间接操控体系内存,这将十分伤害,因而怎样包管/dev/shm宁静也相当主要。
关于/tmp的宁静设置,必要看/tmp是一个自力磁盘分区,仍是一个根分区下的文件夹,假如/tmp是一个自力的磁盘分区,那末设置十分复杂,修正/etc/fstab文件中/tmp分区对应的挂载属性,加上nosuid、noexec、nodev三个选项便可,修正后的/tmp分区挂载属性相似以下:
LABEL=/tmp/tmpext3rw,nosuid,noexec,nodev00
个中,nosuid、noexec、nodev选项,暗示不同意任何suid步伐,而且在这个分区不克不及实行任何剧本等步伐,而且不存在装备文件。
在挂载属性设置完成后,从头挂载/tmp分区,包管设置失效。
关于/var/tmp,假如是自力分区,装置/tmp的设置***是修正/etc/fstab文件便可;假如是/var分区下的一个目次,那末能够将/var/tmp目次下一切数据挪动到/tmp分区下,然后在/var下做一个指向/tmp的软毗连便可。也就是实行以下操纵:
[root@server~]#mv/var/tmp/*/tmp
[root@server~]#ln-s/tmp/var/tmp
假如/tmp是根目次下的一个目次,那末设置略微庞大,能够经由过程创立一个loopback文件体系来使用Linux内核的loopback特征将文件体系挂载到/tmp下,然后在挂载时指定限定加载选项便可。一个复杂的操纵示比方下:
[root@server~]#ddif=/dev/zeroof=/dev/tmpfsbs=1Mcount=10000
[root@server~]#mke2fs-j/dev/tmpfs
[root@server~]#cp-av/tmp/tmp.old
[root@server~]#mount-oloop,noexec,nosuid,rw/dev/tmpfs/tmp
[root@server~]#chmod1777/tmp
[root@server~]#mv-f/tmp.old/*/tmp/
[root@server~]#rm-rf/tmp.old
最初,编纂/etc/fstab,增加以下内容,以便体系在启动时主动加载loopback文件体系:
/dev/tmpfs/tmpext3loop,nosuid,noexec,rw00
为了考证一下挂载时指定限定加载选项是不是失效,能够在/tmp分区创立一个shell文件,操纵以下:
[root@tc193tmp]#ls-al|grepshell
-rwxr-xr-x1rootroot22Oct614:58shell-test.sh
[root@server~]#pwd
/tmp
[root@tc193tmp]#./shell-test.sh
-bash:./shell-test.sh:Permissiondenied
能够看出,固然文件有可实行属性,可是已在/tmp分区没法实行任何文件了。
最初,再来修正一下/dev/shm的宁静设置。因为/dev/shm是一个同享内存装备,因而也能够经由过程修正/etc/fstab文件设置而完成,在默许情形下,/dev/shm经由过程defaults选项来加载,对包管其宁静性是不敷的,修正/dev/shm的挂载属性,操纵以下:
tmpfs/dev/shmtmpfsdefaults,nosuid,noexec,rw00
经由过程这类体例,就限定了任何suid步伐,同时也限定了/dev/shm的可实行权限,体系宁静性失掉进一步提拔。
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!
柔情似水 该用户已被删除
沙发
发表于 2015-1-16 08:09:49 | 只看该作者

给大家带来CentOS文件体系宁静

清楚了解网络的基础知识,特别是在Linux下应用知识,如接入internet等等。
活着的死人 该用户已被删除
板凳
发表于 2015-1-25 11:01:32 | 只看该作者
再次,Linux是用C语言编写的,我们有学习C语言的基础,读程序和编写代码方面存在的困难小一点,也是我们能较快掌握的原因之一。?
变相怪杰 该用户已被删除
地板
发表于 2015-2-2 22:06:27 | 只看该作者
感谢老师和同学们在学习上对我的帮助。
山那边是海 该用户已被删除
5#
发表于 2015-2-8 14:00:23 | 只看该作者
永中office 2004增强版安装只需要默认安装即可使用并操作大多与win系统雷同,打印机的配置和管理,记录光盘等。
乐观 该用户已被删除
6#
发表于 2015-2-25 19:56:52 | 只看该作者
主流Linux发行版都自带非常详细的文档(包括手册页和FAQ),从系统安装到系统安全,针对不同层次的人的详尽文档,仔细阅读文档后40%问题都可在此解决。
飘飘悠悠 该用户已被删除
7#
发表于 2015-3-8 05:27:37 | 只看该作者
写学习日记,这是学习历程的见证,同时我坚持认为是增强学习信念的法宝。
飘灵儿 该用户已被删除
8#
发表于 2015-3-16 03:08:42 | 只看该作者
其中不乏很多IT精英的心血。我们学透以后更可以做成自己的OS!?
莫相离 该用户已被删除
9#
发表于 2015-3-22 20:11:25 | 只看该作者
发问的时候一定要注意到某些礼节。因为Linux社区是一个松散的组织、也不承担回复每个帖子的义务。它不是技术支持。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-24 08:45

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表