Linux 一些安全设置

读书笔记,内容主要来自网络安全hacks

mount的选项可以防止文件被解释为设备节点,防止按二进制程序执行,不允许SUID设置。 biru

mount -o nodev, noexec,nosuid /dev/hda3 /mnt/tmp

在fstab中的入口点可能为:

/dev/hda3 /mnt/tmp ext3 defaults.nodev.noexec,nosuid    1 2

(上面第五个位置的1表示dump备份,第六个位置的2表示在/之后做文件系统check,如为0表示不用check)

可以分多个区,对每个分区适用不同选项,比如/home基本上肯定不需要dev和suid。/tmp和/var也类似。

关于mount的选项还有 ro  rw noquota 等

关于SUID和SGID

如果一个文件被设置了SUID或SGID位,会分别表现在所有者或同组用户的权限的可执行位上。例如:

1、-rwsr-xr-x 表示SUID和所有者权限中可执行位被设置

2、-rwSr--r-- 表示SUID被设置,但所有者权限中可执行位没有被设置

3、-rwxr-sr-x 表示SGID和同组用户权限中可执行位被设置

4、-rw-r-Sr-- 表示SGID被设置,但同组用户权限中可执行位没有被设

其实在UNIX的实现中,文件权限用12个二进制位表示,如果该位置上的值是

1,表示有相应的权限:

11 10 9 8 7 6 5 4 3 2 1 0

S G T r w x r w x r w x

第11位为SUID位,第10位为SGID位,第9位为sticky位,第8-0位对应于上面的三组rwx位。

11 10 9 8 7 6 5 4 3 2 1 0

上面的-rwsr-xr-x的值为: 1 0 0 1 1 1 1 0 1 1 0 1

-rw-r-Sr--的值为: 0 1 0 1 1 0 1 0 0 1 0 0

 

给文件加SUID和SUID的命令如下:

chmod u+s filename 设置SUID位

chmod u-s filename 去掉SUID设置

chmod g+s filename 设置SGID位

chmod g-s filename 去掉SGID设置

 

此mount设置对于取得了root权限的攻击者就没有用了。

********************************

扫描SUID程序

设了SUID或SGID的程序可能被攻击者利用。 我们要扫描SUID SGID可以这样:

find / \(-perm -4000 -o -perm -2000\) -type f -exec ls -la {}\;

 下面命令检查是不是一个可执行文件, 如不是而是一个文本脚本则显示

find / \(-perm -4000 -o -perm -2000\) -type f -exec file {}\; | grep -v ELF

可以在cron中设置一个命令每天执行,检查SUIDSGID文件

***************************************************

扫描具有全局可写和组可写权限的目录

find / -type d \( -perm -g+w -o -perm -o+w \) -exec ls -lad{} \;

 

 

你可能感兴趣的:(linux,linux,职场,安全,SUID,休闲)