[置顶] RH413企业安全加固 第5章 管理文件系统

第5章管理文件系统

 

1、文件系统的属性和挂载选项

 

1、文件系统的挂载选项

1) nodev选项

如果设备没有这个选项是不能生成/dev/下的设备的

 

2) noexec选项

代表这个设备不可以被执行

3) noauto选项

代表这个设备被忽略(自动挂载会忽略这个设备)

 

2、使用cp /bin/ping 命令

1) 使用mount命令重新挂载带noexec选项(注意：红字) 

[root@student ~]# mount -o remount,noexec /mnt

[root@student ~]# mount

/dev/sda3 on / type ext4 (rw)

proc on /proc type proc (rw)

sysfs on /sys type sysfs (rw)

devpts on /dev/pts type devpts (rw,gid=5,mode=620)

tmpfs on /dev/shm type tmpfs (rw,rootcontext="system_u:object_r:tmpfs_t:s0")

/dev/sda1 on /boot type ext4 (rw)

none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)

sunrpc on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw)

gvfs-fuse-daemon on /root/.gvfs type fuse.gvfs-fuse-daemon (rw,nosuid,nodev)

/dev/sr0 on /media/RHEL_6.4 x86_64 Disc 1 type iso9660 (ro,nosuid,nodev,uhelper=udisks,uid=0,gid=0,iocharset=utf8,mode=0400,dmode=0500)

/dev/mapper/sdd5 on /mnt type ext4 (rw,noexec)

 

2) 在/mnt 目录下执行ping命令

[root@student ~]# cp /bin/ping /mnt

[root@student ~]# cd /mnt

[root@student mnt]# ls

lost+found  ping

[root@student mnt]# ./ping 127.0.0.1

-bash: ./ping: Permission denied

3) 查看ping的权限

[root@student mnt]# ls -l

total 56

drwx------. 2 root root 16384 Jan 17 08:18 lost+found

-rwxr-xr-x. 1 root root 40760 Jan 17 09:58 ping

 

4) 再次使用mount的命令把noexec去掉

[root@student ~]# mount -o remount /mnt

[root@student ~]# cd /mnt/

[root@student mnt]# ping 127.0.0.1

PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.

64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.237 ms

64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.064 ms

以上4个步骤说明使用了noexec选项是不允许你使用某个二进制的文件

 

3、挂载选项带acl使用命令tune2fs

 

[root@student ~]# tune2fs -o acl /dev/mapper/sdd5 

tune2fs 1.41.12 (17-May-2010)

[root@student ~]# tune2fs -l /dev/mapper/sdd5 

tune2fs 1.41.12 (17-May-2010)

Filesystem volume name:   <none>

Last mounted on:          /mnt

Filesystem UUID:          62ad34c8-d172-4fce-8664-c56db3b4d6ac

Filesystem magic number:  0xEF53

Filesystem revision #:    1 (dynamic)

Filesystem features:      has_journal ext_attr resize_inode dir_index filetype needs_recovery extent flex_bg sparse_super large_file huge_file uninit_bg dir_nlink extra_isize

Filesystem flags:         signed_directory_hash 

Default mount options:    acl

 

4、文件系统的属性使用命令lsattr和chattr

1)

[root@student mnt]# touch aa

[root@student mnt]# lsattr aa

-------------e- aa

“e”代表映射一个块到你设备上去( 表示：操作系统的特殊权限)

2)

[root@student mnt]# chattr +a aa

[root@student mnt]# lsattr aa

-----a-------e- aa

[root@student mnt]# echo test >> aa

[root@student mnt]# echo test > aa

-bash: aa: Operation not permitted

[root@student mnt]# rm -rf aa

rm: cannot remove `aa': Operation not permitted

“a”代表文件只能被追加不能被删除

3)

[root@student mnt]# chattr -a aa

[root@student mnt]# lsattr aa

-------------e- aa

[root@student mnt]# chattr +i aa

[root@student mnt]# lsattr aa

----i--------e- aa

[root@student mnt]# echo test >> aa

-bash: aa: Permission denied

“i”和“a”不一样地方是不能追加也不能被删除