文件系统安全



1、全球可读文件
 全球可读文件指任何用户都有权限查看的文件
 find / -type f -perm -4 -print 2 > /dev/null

2、全球可写文件
 全球可写文件指那些所有用户都有权限更改的文件
 find / -type f -perm -2 -print 2 > /dev/null
 find / -type d -perm -2 -print 2 > /dev/null

3、特殊的文件权限:setuid和setgid
 设置了setuid的文件,用户在执行文件时会以该文件的所有者的身份执行,而不是执行这个文件的用户本身
 setgid类似,以文件的属组的身份执行
 /etc/shadow就是这样的文件
 
 添加setuid权限
 chmod u+x testfile
 chmod u+s testfile
 
 取消setuid权限
 chmod u-s testfile
 
 添加setgid权限
 chmod g+x testfile
 chmod g+s testfile
 
 取消setgid权限
 chmod g-s testfile

 查找出系统中setuid或者setgid文件
 find / -perm -4000 -print   //setuid
 find / -perm -2000 -print   //setgid

4、没有所有者文件
 查找出系统中没有所有者和属组的文件
 find / -nouser -o -nogroup

5、设备文件
 设备文件存放在/dev/下,应避免权限被设置为全球可读

6、磁盘分区
 通过占用所有磁盘可用空间实施拒绝服务攻击
 cat /dev/zero > /tmp/bigfile  //不断往比辜负了中写0,耗光磁盘空间

 使用Linux的磁盘配额限制,限制每个用户能够使用的磁盘空间
 对磁盘进行合理的分区,把重要的文件系统分别挂载到不同的磁盘分区上

7、设置grub密码
 生成MD5加密的密码信息
 /sbin/grub-md5-crypt

 更改/etc/grub.conf配置
 password --md5 xxxxxxxxxxxxxxxxxxxxxx
 lock
 
 reboot

8、限制su切换
 配置只允许wheel组中的用户进行su
 更改su命令属组为wheel
 chgrp wheel /bin/su

 更改su命令的权限,拒绝除root和wheel组以外的用户执行
 chmod u+s,o-rwx,u+rwx,g+rx /bin/su

 把可信任的用户加入wheel组
 usermod -G wheel sam

9、使用合适的mount选项
 使用noexec\nosuid\nodev等选项更好地控制挂载的文件系统 
 

你可能感兴趣的:(Linux)