UNIX 操作系统安全检查列表(5)

　　3.1　文件权限分类

　　■读：允许读文件和目录内容。

　　■写：允许修改、删除文件。

　　■执行：允许执行二进制程序和脚本

　　■目录粘着位：用户不能删除该目录下没有写权限的文件，尽管他对目录有写权限。

　　■SUID: 程序以所有者而不是执行者的身份执行。

　　■SGID（文件）: 类似SUID，程序以所在组的权限运行。

　　3.2　文件和目录的访问对象

　　■文件所有者；

　　■文件所有组；

　　■其它人。

　　其中，文件权限的8进制表示。属主,组,其它分别以一个8进制位表示,其中: -r - 4 -w - 2 -x - 1

　　例子: "-rwxr-x---" 8进制表示为0750　0400 0200 0100 0040 0000 0010　 ＋0000　 ------------- 0750

　　文件权限命令

　　■chmod （改变权限）

　　■#chmod o+r file

　　■（用户（u）、分组（g）、其他（0））

　　■c h o w n（改变拥有权）

　　■#chown user1 file

　　■c h g r p（改变分组）

　　■#chgrp group1 file

　　3.3　umask值

　　当创建了一个新文件或目录时，它基于用户的权限屏蔽"umask"来确定缺省的权限设置。chmod命令用来声明要打开的权限，而umask命令用来指明要禁止的权限。

　　它用一个简单的三位数变元来声明在一个文件或目录被创建时应该被禁止的访问权限-或被屏蔽的。

　　umask主要在系统范围及个人的登录文件.login或.profile中建立。

　　3.3.1　文件权限

　　■应该设置root用户的umask为077，这使其它用户不能读写root新创建的文件。

　　■在多数系统中，u m a s k的缺省值是0 2 2。

　　3.3.2　附加的文件权限属性

　　■linux的ext2/ext3文件系统 -lsattr -chattr

　　■i 禁止修改

　　■#chattr +i　files

　　■#chattr -i　files

　　3.4　给口令文件和组文件设置不可改变位，

　　■[root@cnns]# chattr +i /etc/passwd

　　■[root@cnns]# chattr +i /etc/shadow

　　■[root@cnns]# chattr +i /etc/group

　　■[root@cnns]# chattr +i/etc/gshadow

　　3.5　SUID和SGID文件

　　■SUID表示"设置用户ID"，SGID表示"设置组ID"。当用户执行一个SUID文件时，用户ID在程序运行过程中被置为文件拥有者的用户ID。如果文件属于root，那用户就成为超级用户。同样，当一个用户执行SGID文件时，用户的组被置为文件的组。

　　■Unix实际上有两种类型的用户ID。

　　■"real user ID"是在登录过程中建立的用户ID。 "effective user ID"是在登录后的会话过程中通过SUID和SGID位来修改。

　　■#find /-type f \ （-perm -4000 -o -perm -2000\） -ls

　　■这告诉find列出所有设置了SUID（"4000"）或SGID（"2000"）位的普通文件（"f"）。应该在每个本地系统中运行它。

　　■[root@kcn]# chmod a-s /usr/bin/chage