科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道UNIX 操作系统安全检查列表(5)

UNIX 操作系统安全检查列表(5)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文选自ChinaITLab网校课程《CIW网络安全工程师V3.0》,主要介绍UNIX 操作系统安全检查列表.

作者:51CTO.COM 2007年10月31日

关键字: 网络安全 Unix安全设置 拒绝服务攻击

  • 评论
  • 分享微博
  • 分享邮件

  3.1 文件权限分类

  ■读:允许读文件和目录内容。

  ■写:允许修改、删除文件。

  ■执行:允许执行二进制程序和脚本

  ■目录粘着位:用户不能删除该目录下没有写权限的文件,尽管他对目录有写权限。

  ■SUID: 程序以所有者而不是执行者的身份执行。

  ■SGID(文件): 类似SUID,程序以所在组的权限运行。

  3.2 文件和目录的访问对象

  ■文件所有者;

  ■文件所有组;

  ■其它人。

  其中,文件权限的8进制表示。属主,组,其它分别以一个8进制位表示,其中: -r - 4 -w - 2 -x - 1

  例子: "-rwxr-x---" 8进制表示为0750 0400 0200 0100 0040 0000 0010  +0000  ------------- 0750

  文件权限命令

  ■chmod (改变权限)

  ■#chmod o+r file

  ■(用户(u)、分组(g)、其他(0))

  ■c h o w n(改变拥有权)

  ■#chown user1 file

  ■c h g r p(改变分组)

  ■#chgrp group1 file

  3.3 umask值

  当创建了一个新文件或目录时,它基于用户的权限屏蔽"umask"来确定缺省的权限设置。chmod命令用来声明要打开的权限,而umask命令用来指明要禁止的权限。

  它用一个简单的三位数变元来声明在一个文件或目录被创建时应该被禁止的访问权限-或被屏蔽的。

  umask主要在系统范围及个人的登录文件.login或.profile中建立。

  3.3.1 文件权限

  ■应该设置root用户的umask为077,这使其它用户不能读写root新创建的文件。

  ■在多数系统中,u m a s k的缺省值是0 2 2。

  3.3.2 附加的文件权限属性

  ■linux的ext2/ext3文件系统 -lsattr -chattr

  ■i 禁止修改

  ■#chattr +i files

  ■#chattr -i files

  3.4 给口令文件和组文件设置不可改变位,

  ■[root@cnns]# chattr +i /etc/passwd

  ■[root@cnns]# chattr +i /etc/shadow

  ■[root@cnns]# chattr +i /etc/group

  ■[root@cnns]# chattr +i/etc/gshadow

  3.5 SUID和SGID文件

  ■SUID表示"设置用户ID",SGID表示"设置组ID"。当用户执行一个SUID文件时,用户ID在程序运行过程中被置为文件拥有者的用户ID。如果文件属于root,那用户就成为超级用户。同样,当一个用户执行SGID文件时,用户的组被置为文件的组。

  ■Unix实际上有两种类型的用户ID。

  ■"real user ID"是在登录过程中建立的用户ID。 "effective user ID"是在登录后的会话过程中通过SUID和SGID位来修改。

  ■#find /-type f \ (-perm -4000 -o -perm -2000\) -ls

  ■这告诉find列出所有设置了SUID("4000")或SGID("2000")位的普通文件("f")。应该在每个本地系统中运行它。

  ■[root@kcn]# chmod a-s /usr/bin/chage

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章