1_系统安全

发布时间:2023年12月19日
系统权限
一、安装系统
1. 选择稳定版操作系统
2. 最小化安装
3. 不要安装 gcc,make
4. 安装完系统后更新系统
[root@localhost ~]# yum -y update
二、文件 ( 目录 ) 权限
1. 基本权限 rwx
????????对于目录,默认权限=777-umask
????????对于文件,默认权限=666-umask( 文件默认无执行权限 )
????????修改umask
[root@localhost ~]# vim /etc/bashrc
71 umask 002 #普通用户
72 else
73 umask 022 #超级用户
74 fi
[root@localhost ~]# vim /etc/profile
60 umask 002 #普通用户
61 else
62 umask 022 #超级用户
2. 特殊权限 suid sgid sticky
????????suid 冒险位,执行二进制文件与文件所有人有关,与谁来执行无关
[root@localhost ~]# chmod 4777 filename
sgid 强制位,对目录生效,在此目录中创建文件自动归入目录所在组
[root@localhost ~]# chmod 2777 dirname
sticky 粘制位,目录中的文件只能被文件拥有者删除
[root@localhost ~]# chmod 1777 dirname
3. 文件 ACL getfacl setfacl
? ? ? ? ? ? ? ? 对文件的权限进行附加说明的权限设定方式
? ? ? ? ? ? ? ? ACL提供传统的owner/group/other read/write/execute 之外的细部权限设定。(可以针对单一的使用 者,目录等等)
????????????????查看
[root@localhost ~]# ls -l
总用量 1
-rw-r--r-- 1 root root 4 2月 17 20:56 test.txt
#-rw-r--r--+ 如果权限后面带有‘+’号表示有ACL权限
[root@localhost ~]# getfacl test.txt
# file: test.txt 文件名
# owner: root 文件所属者
# group: root 文件所属组
user::rw- 属主权限
group::r-- 属组权限
other::r-- 其他人权限
设定 ACL 权限
[root@localhost ~]# useradd jack
[root@localhost ~]# setfacl -m u:jack:rw test.txt
#setfacl -m <u|g|m>:<username|groupname>:权限 filename
#setfacl -x <u|g>:<username|groupname> filename ##去除某个用户或者组的acl
#setfacl -b filename ##删除文件上的权限列表
[root@localhost ~]# getfacl test.txt
# file: test.txt
# owner: root
# group: root
user::rwuser:jack:rw- 为jack设置rw权限
group::r--
mask::rwother::r--
[root@localhost ~]# ls -l test.txt
-rw-rw-r--+ 1 root root 4 2月 17 20:56 test.txt
4. 文件属性 chattr lsattr +a -a +i -i -d
[root@localhost ~]# chattr +a test.txt
#只能给文件添加内容,但是删除不了,属于追加
[root@localhost ~]# chattr -d test.txt
[root@localhost ~]# chattr +i test.txt
#文件不能删除,不能更改,不能移动
[root@localhost ~]# lsattr test.txt
----i----------- test.txt
案例 1 :防删除,防修改
[root@localhost ~]# find /bin /sbin /usr/sbin /usr/bin /etc/shadow /etc/passwd
/etc/pam.d -type f -exec chattr +i {} \;
案例 2 :日志文件防删除
[root@localhost ~]# chattr +a /var/log/messages /var/log/secure
#日志切割要先去掉a属性,之后增加a属性
[root@localhost ~]# vim /etc/logrotate.d/syslog
prerotate
chattr -a /var/log/messages
endscript
...
postrotate
chattr +a /var/log/messages
endscript
}
5. mask umask 权限
[root@localhost ~]# umask
0022
[root@localhost ~]# umask -S
u=rwx,g=rx,o=rx
6. mount 权限 -o
rw ro
sync async
此选项的默认模式为异步模式。在同步模式下,内存的任何修改都会实时的同步到硬盘当中,这种模式的
安全性基本属于最高,但是因为内存的数据基本一直都在变化,所以这种模式会使得程序运行变得缓慢,
影响效率。而在异步模式下,虽然同步没有实时,但是现在考虑到日志文件系统的存在,所以安全性基本
不用考虑,而异步模式的效率会更高,随意目前普遍使用异步模式为默认
auto noauto
合理规划权限,尽量避免 777 权限出现
用户授权
su
由超级用户切换为普通用户,仅切换用户,环境变量不切换,如若为普通用户,会导致命令不可用
[root@localhost ~]# su jack
[jack@localhost root]$
由超级用户切换为普通用户,切换用户至家目录,环境变量会发生改变
[root@localhost ~]# su - jack
上一次登录:日 2月 17 21:48:05 CST 2019pts/1 上
[jack@localhost ~]$
由普通用户切换为 root 用户
[jack@localhost ~]$ su - root
密码: #需要输入密码,可获取root全部权限,此处密码认证由PAM提供
上一次登录:日 2月 17 20:45:56 CST 2019从 192.168.2.1pts/1 上
[root@localhost ~]
sudo
文章来源:https://blog.csdn.net/qq_57747969/article/details/135024931
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。