日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

Linux系統(tǒng)安全優(yōu)化之文件和文件系統(tǒng)安全優(yōu)化文件系統(tǒng)層次的安全優(yōu)化

1.       合理規(guī)劃系統(tǒng)分區(qū)

建議劃分為獨(dú)立分區(qū)的目錄

/boot   :大小建議在200M以上。

/home  :該目錄是用戶默認(rèn)宿主目錄所在的上一級(jí)文件夾，若服務(wù)器用戶數(shù)量較多，通常無(wú)法預(yù)知每個(gè)用戶所使用的磁盤(pán)空間大小

/var    : 該目錄用于保存系統(tǒng)日志、運(yùn)行狀態(tài)、用戶郵箱目錄等，文件讀寫(xiě)頻繁。占用空間可能會(huì)較多

/opt    : 用于安裝服務(wù)器的附加應(yīng)用程序及其他可選工具，方便擴(kuò)展使用

2.       通過(guò)掛載選項(xiàng)禁止執(zhí)行set位程序、二進(jìn)制程序

使/var分區(qū)中程序文件的執(zhí)行（x）權(quán)限失效，禁止直接執(zhí)行該分區(qū)中二進(jìn)制程序

 
 
 

  
  
  
#  vi  /etc/fstab  
  
  
  
 
  
  
  
/dev/sdc1   /var    ext3    defaults,noexec   1  2  
  
  
  
 
  
  
  
#  mount  -o  remount   /var 
 
 
 

如果想要從文件系統(tǒng)層面禁止文件的suid 或 sgid位權(quán)限，將上邊的noexec改為nosuid即可

3.       鎖定不希望更改的系統(tǒng)文件

使用 +i 屬性鎖定service 、passwd、grub.conf 文件（將不能正常添加系統(tǒng)用戶）

#  chattr   +i  /etc/service  /etc/passd  /boot/grub.conf

解除/etc/passwd文件的 +i 鎖定屬性

 
 
 

  
  
  
#  lsattr   /etc/passwd   //查看文件的屬性狀態(tài)  
  
  
  
 
  
  
  
#  chattr   -i   /etc/passwd 
 
 
 

Linux系統(tǒng)安全優(yōu)化之應(yīng)用程序和服務(wù)

1.       關(guān)閉不必要的系統(tǒng)服務(wù)

2.       禁止普通用戶執(zhí)行init.d目錄中的腳本

 
 
 

  
  
  
#  chmod  -R  o-rwx  /etc/init.d  
  
  
  
 
  
  
  
或  
  
  
  
 
  
  
  
#  chmod  -R  750   /etc/init.d 
 
 
 

3.       禁止普通用戶執(zhí)行控制臺(tái)程序

/etc/security/console.apps/目錄下每一文件對(duì)應(yīng)一個(gè)系統(tǒng)程序，如果不希望普通用戶調(diào)用這些控制臺(tái)程序，可以將對(duì)應(yīng)的配置文件移除

 
 
 

  
  
  
#  cd  /etc/security/console.apps/  
  
  
  
 
  
  
  
#  tar  jcpvf  /etc/conhlp.pw.tar.bz2  poweroff   halt   reboot  - - remove 
 
 
 

4.       去除程序文件中非必需的set-uid 或 set-gid 附加權(quán)限

查找系統(tǒng)中設(shè)置了set-uid或set-gid權(quán)限的文件，并結(jié)合 –exec 選項(xiàng)顯示這些文件的詳細(xì)權(quán)限屬性

#  find  /  -type  f   perm  +6000   -exec  ls  -lh  { }  \  ;

去掉程序文件的suid/sgid位權(quán)限

#  chmod  a-s  /tmp/back.vim

編寫(xiě)shell腳本，檢查系統(tǒng)中新增加的帶有suid或者sgid位權(quán)限的程序文件

（1）     在系統(tǒng)處于干凈狀態(tài)時(shí)，建立合法suid/sgid文件的列表，作為是否有新增可疑suid文件的比較依據(jù)

 
 
 

  
  
  
#  find  /  -type  f   -prem  +6000   >  /etc/sfilelist  
  
  
  
 
  
  
  
#  chmod  600  /etc/sfilelist  
 
 
 

（2）     建立chksfile腳本文件，與sfilelist比較，輸出新增的帶suid/sgid屬性的文件

 
 
 

  
  
  
#  vi  /usr/sbin/chksfile  
  
  
  
 
  
  
  
#!/bin/bash  
  
  
  
 
  
  
  
OLD_LIST=/etc/sfilelist  
  
  
  
 
  
  
  
for  i  in  ` find  /  -type  -prem  +6000 `  
  
  
  
 
  
  
  
do  
  
  
  
 
  
  
  
grep   -F   “$i”  $OLD_LIST  >  /dev/null  
  
  
  
 
  
  
  
[  $?  -ne  0 ]  &&  ls  -lh  $i  
  
  
  
 
  
  
  
done  
  
  
  
 
  
  
  
#  chmod  700  /usr/bin/chkfile 
 
 
 

（3）     執(zhí)行chkfile腳本，檢查是否有新增suid/sgid文件

 
 
 

  
  
  
#  cp   /bin/touch  /bin/mytouch   //建立測(cè)試用程序文件  
  
  
  
 
  
  
  
#  chmod  4755  /bin/mytouch  
  
  
  
 
  
  
  
#  chksfile                    //執(zhí)行程序腳本，輸出檢查結(jié)果 
 
 
 

Linux系統(tǒng)安全優(yōu)化中文件和文件系統(tǒng)安全優(yōu)化文件系統(tǒng)層次的安全優(yōu)化的配置就向大家介紹完了，希望大家已經(jīng)掌握。

【編輯推薦】

1. Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（1）
2. Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（2）
3. Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（4）
4. Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（5）

當(dāng)前題目：Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（3）
文章鏈接：http://www.dlmjj.cn/article/cdehdje.html