加固Linux系统----保护本地文件系统

保护本地文件系统涉及的是文件和目录的所有者及访问它们的权限。要保护文件系统，文件和目录的保护位必须设置为只授予最小限度的权限。

要特别注意关于所有人可写的文件和系统目录的不适当权限，以及所谓的 setuid 或者 setgid 命令。这些命令运行时的用户权限比运行此命令的用户实际拥有的权限更高。对访问只有 root 才可以访问的文件来说这可能是必需的（比如 /bin/passwd 需要访问 /etc/passwd）。对于这些命令，要确保它们每一个都确实需要设置 setuid/setgid 位。如果不是这样，那么禁用它。

当某个分区上的所有文件确实都不需要 setuid/setgid 位时， /etc/fstab 中的 nosuid 选项可以为相应文件系统中的每个文件都禁用它（下面的示例中的 /dev/hdc1）：

#device mountpoint filesystemtype options dump fsckorder /dev/hda1 / ext2 defaults 1 1 ... /dev/hdc1 /mnt/cdrom iso9660 nosuid,user 1 2

此外，对于所有敏感的数据，都有必要对其进行加密并使用密码保护它。为此，GnuPG 提供了一个合适的软件包。