小議Linux安全防護(二)
0x00 檔案安全
檔案的s、t、i、a許可權
首先說一下關於檔案的命令:ls more cat less head touch rm rmdir cd mkdir等等 對於一些檔案我們希望它只有特定的使用者可以訪問,其他使用者不可以訪問,或者一個檔案只能擁有著可以操作其他使用者就不能操作這個時候我們應該怎麼辦?在linux系統中,對於檔案和資料夾有一個s、t、i、a的許可權,可以幫助我們做到這些;
例如這裡的passwd命令,它的擁有者有一個s的許可權,這個許可權是什麼意思呢!它代表普通使用者在執行passwd這個命令時暫時擁有這個檔案本身所屬使用者的許可權。
我這裡解釋一下SUID 與 SGID
SUID僅可用在“二進位制檔案(binary file)”,SUID因為是程式在執行過程中擁有檔案擁有者的許可權,因此,它僅可用於二進位制檔案,不能用在批處理檔案(shell指令碼)上。這是因為shell指令碼只是將很多二進位制執行檔案調進來執行而已。所以SUID的許可權部分,還是要看shell指令碼呼叫進來的程式設定,而不是shell指令碼本身。當然,SUID對目錄是無效的。這點要特別注意。
SGID進一步而言,如果s的許可權是在使用者組,那麼就是Set GID,簡稱為SGID。
- 檔案:如果SGID設定在二進位制檔案上,則不論使用者是誰,在執行該程式的時候,它的有效使用者組(effective group)將會變成該程式的使用者組所有者(group id)。
- 目錄:如果SGID是設定在A目錄上,則在該A目錄內所建立的檔案或目錄的使用者組,將會是此A目錄的使用者組。
上面介紹了關於s與t許可權的一些東西,這裡再說一下a與i許可權,在linux中還有chattr這個命令,與他對應的還有一個lsattr命令
chattr這個命令常用於鎖定檔案的
chattr:
引數 | 說明 |
---|---|
-a | 只能向檔案中新增資料,不能刪除,修改 |
-i | 設定檔案不能被刪除,修改,重新命名 |
-c | 設定檔案是否經過壓縮再儲存,讀取時需要經過解壓縮 |
-s | 安全地刪除檔案或目錄,檔案刪除後全部收回硬碟空間(不可恢復) |
-u | 與-s引數相反,系統會保留資料塊,以便方便回收 |
所以作為一個網路安全運維人員,我們必須對檔案進行嚴格的配置,這裡只是一些針對檔案本身是安全設定,不同的檔案具有不同的讀寫執行等許可權,接下來我們就針對不同使用者對不同檔案的讀寫執行來做一個描述;
檔案的ACL
針對檔案以及資料夾我們在新建的時候,通常會有一個預設的許可權:
我們會發現資料夾是755,而我們的檔案是644,這是為什麼呢,原因就是在linux中預設的umask許可權,這個umask一般在我們的/etc/profile
umask值:022代表什麼意思呢,umask其實是許可權的補碼,就是在777許可權上減去的值,所以我們資料夾的許可權是7-0/7-2/7-2=755
,那為什麼我們檔案的是644呢,因為建立檔案的時候還需要減去一個預設的執行許可權1,所以檔案的許可權就是7-1/7-3/7-3=644
平時我們修改檔案許可權的常用命令有這些:chmod
、chown
、chattr
等,但是對於檔案還有一個ACL(訪問控制列表)機制,下面就以Centos7中來介紹一下檔案的訪問控制,對於ACL常見的命令有3個:setfacl
、getfacl
、chacl
透過上圖我們可以發現對檔案的描述是一樣的,檔名、擁有著、所屬組、以及他們對應的許可權;對於getfacl獲取檔案的許可權沒有什麼可說的,這裡詳細說一下對檔案許可權的設定:
首先是引數:
#!bash
setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
-b:刪除所有的acl引數
-k:刪除預設的acl引數
-n:不重新判斷是否有效
-d:設定預設的acl引數(只針對目錄,在目錄中的新建檔案同樣使用此acl)
-R: 遞迴設定後面的acl引數
-x:刪除後面指定的acl引數
-m:設定後面指定的acl引數
針對acl引數:
#!bash
[u/g/o]:[username/groupname/空]:[rwx] filename
下面看例項:
我們再設定一個對其他使用者完全沒有許可權的acl
這裡再新增一個可以讀可執行卻沒有寫許可權的使用者acl,
這就是檔案訪問控制的魅力,你希望這個檔案對那些使用者有什麼許可權都可以透過這樣來進行設定;
檔案的共享
提供檔案共享的服務Samba、NFS、Ftp等等,這些都可以作為Linux中檔案的共享功能;提供服務時需要注意目錄的許可權控制,這裡我們將一下Linux中與cp命令相對應的一個命令scp,它可以遠端來傳輸檔案,並且基於ssh登入是一個安全的檔案傳輸通道;常常用於我們的兩臺伺服器之間的檔案傳輸,比如我們的備份日誌(透過crontab來實現)
傳一個檔案到我們的遠端伺服器上面:
從遠端伺服器上面獲取一個檔案:
如果我們不想在每次獲取檔案或者傳輸檔案的時候輸入密碼,我們可以使用ssh建立金鑰認證來進行傳輸,一般在我們備份日誌檔案中也是透過這樣的方式來進行備份;
制定一個定時任務crontab -e
每2分鐘向伺服器傳送一個test.txt的檔案
我們這麼做的目的或者說這麼做了對伺服器有什麼安全性嘛,其實scp命令就是一個透過ssh的傳輸功能,我們可以在ssh結合firewall做一些限制,比如只允許哪些IP或IP段訪問我們的伺服器,這樣我們就可以控制哪些可信的pc或伺服器訪問;
同時我們也可以透過SSH定時更新我們的金鑰檔案來防止我們的金鑰檔案洩漏;
這麼做比我們使用ftp、samba等來傳輸檔案更加安全可靠;
命令記錄功能
在Linux系統中,有一個很重要的命令可以幫助我們曾經使用過的命令記錄,但是也許有的時候我們並不需要這個功能,或者某些使用者需要某些使用者不需要,這個時候我們可以都配置檔案進行配置:
配置檔案:/etc/bashrc
在裡面加入這4行
#!bash
HISTFILESIZE=1000 #儲存命令的記錄總數
HISTSIZE=1000 #history命令輸出的命令總數
HISTTIMEFORMAT='%F %T' #定義時間顯示格式
export HISTTIMEFORMAT #載入
HISTFILE=/root/test #裡面命令儲存目錄
export HISTFILE #載入,重新登陸使用者生效
export HISTCONTROL #忽略重複的命令
export HISTIGNORE="[ ]*:&:bg:fg:exit" #忽略冒號分割這些命令
我們如果不想使用儲存命令將記錄總數設定為0就可以了;
這裡提供一個“高效能構建Linux伺服器”中提到的一個使用history記錄使用者的操作,在/etc/profile檔案中新增如下程式碼:
#!bash
#history
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'` #這句話就是先獲取使用者及IP資訊,將標準錯誤輸出到黑洞當中,然後使用awk命令獲取最後一組引數,再透過sed將()替換掉;
HISTDIR=/usr/share/.history
#判斷IP
if [ -z $USER_IP ]
then
USER_IP=`hostname`
fi
#判斷是否存在日誌目錄
if [ ! -d $HISTDIR ]
then
mkdir -p $HISTDIR
chmod 777 $HISTDIR
fi
#生成日誌日檔案
if [ ! -d $HISTDIR/${LOGNAME} ]
then
mkdir -p $HISTDIR/${LOGNAME}
chmod 300 $HISTDIR/${LOGNAME}
fi
export HISTSIZE=4000
DT=`date +%Y%m%d_%H%M%S`
export HISTFILE="$HISTDIR/${LOGNAME}/${USER_IP}.history.$DT"
export HISTTIMEFORMAT="[%Y.%m.%d %H:%M:%S]"
chmod 600 $HISTDIR/${LOGNAME}/*.history* 2>/dev/null
如果我們是想給不同的使用者設定history配置,我們就可以在相對應的賬戶家目錄中的.bash_profile
檔案中進行編輯,然後重新登入系統就修改成功;
當然在Linux系統中其實還有一個命令可以幫助我們記錄我們所操作過的命令:script
script這個命令不但可以記錄我們執行的命令,還可以記錄我們執行命令後的返回結果,但是隨著命令的執行這個檔案會越來越大,所以這個命令使用的很少;
0x01 使用者密碼安全
密碼策略
在禁用不必要的服務及使用者中,我們已經說過關於刪除一些無用的使用者(/tips/?id=11801),但是linux作為一個多使用者的系統,我們還是不可避免的會去新增很多使用者,我們不能保證每一個使用者具有很好的安全意識,所以只能在使用者的密碼以及使用者的遠端訪問上做一些限制,我們先介紹Linux使用者密碼策略;
關於密碼策略,我這裡只從簡單的配置檔案說,對於Centos系列中使用pam認證機制不是本文的討論範圍;
配置檔案:vim /etc/login.defs
#!bash
MAIL_DIR /var/spool/mail #郵件目錄
PASS_MAX_DAYS 99999 #密碼過期最大時間,99999代表永久有效
PASS_MIN_DAYS 0 #是否可修改密碼,0代表可修改,非0代表多少天后修改
PASS_MIN_LEN 5 #密碼最小長度,使用pam_creacklib module,這個引數不生效
PASS_WARN_AGE 7 #密碼失效前多少天在使用者登入時通知使用者修改密碼
UID_MIN 1000 #UID的最小值
UID_MAX 60000 #UID的最大值
SYS_UID_MIN 201 #系統UID的最小值
SYS_UID_MAX 999 #系統UID的最大值
GID_MIN 1000
GID_MAX 60000
SYS_GID_MIN 201
SYS_GID_MAX 999
CREATE_HOME yes #是否建立家目錄
UMASK 077 #umask的值
USERGROUPS_ENAB yes #當值為yes,沒有-g引數自動建立名稱和使用者名稱相同的組
ENCRYPT_METHOD SHA512 #加密方式
這個就是我們的使用者密碼策略,我們可以透過修改配置檔案來對使用者密碼策略進行修改,也可以透過命令來進行修改:chage
chage:
引數 | 說明 |
---|---|
-m | 密碼可更改的最小天數,為0代表任何時候都可以修改 |
-M | 密碼保持有效的最大天數 |
-w | 使用者密碼到期前,提前受到警告資訊的天數 |
-E | 賬號到期的日期,超過這個時間,賬號就不能使用 |
-d | 上一次更改的日期 |
-i | 停滯時間,如果密碼已過期多少天,賬號不能使用 |
-l | 列出當前設定 |
相關文章
- 小議Linux安全防護(一)2020-08-19Linux
- Web安全防護(二)2022-01-25Web
- 無線網路安全防護建議詳解!2023-11-29
- MySQL 安全防護2022-04-01MySql
- Android之安全防護allowBackup2018-07-30Android
- 如何做好容器安全防護?2022-07-01
- APK編譯及安全防護2019-04-24APK編譯
- Web應用安全防護-WAF2021-08-29Web
- Linux伺服器如何進行安全防護?這些方法要牢記!2022-09-09Linux伺服器
- SecurityWorker: Javascript 核心演算法全防護2019-04-05JavaScript演算法
- Linux安裝flux護眼軟體2020-04-06Linux
- 如何關閉win10自帶的安全防護_win10如何關閉安全防護2019-12-18Win10
- 【整理】常用的雲安全防護措施合集!2022-08-12
- 常用的雲安全防護措施盤點2022-04-13
- 如何做好伺服器安全防護?2020-01-15伺服器
- 伺服器安全防護的辦法2019-10-16伺服器
- 伺服器如何做好安全防護?2019-11-07伺服器
- 吉林大學資料庫安全防護2019-12-19資料庫
- 如何破解金融安全防護難題?2018-03-16
- 專案二 管理與維護Linux系統2018-03-18Linux
- 專案二 管理與維護Linux系統2018-03-18Linux
- 第二次小組站立會議2024-04-19
- 網路安全防護主要涉及哪些方面?2023-11-28
- 網站資料安全防護措施有哪些?2023-02-15網站
- 安全架構中的前端安全防護2022-11-22架構前端
- 如何進行伺服器的安全防護?2022-05-24伺服器
- 網路安全防護之主機病毒查殺2022-07-05
- 網站安全防護 什麼是session安全2019-12-16網站Session
- WEB安全防護相關響應頭(下)2021-06-04Web
- WEB安全防護相關響應頭(上)2021-06-03Web
- Android應用安全防護的點點滴滴2019-03-01Android
- Linux 筆記分享二:Linux 系統安裝2019-01-03Linux筆記
- 物聯網如何解決安全防護問題?2019-07-27
- 伺服器做好安全防護的幾個方法2020-05-29伺服器
- 伺服器安全防護你做對了嗎?2019-12-20伺服器
- 大型國有銀行資料安全防護案例2020-09-25
- 安全防護密碼學之網站安全公司2020-11-18密碼學網站
- 快快網路遊戲盾-雲安全防護中心2020-11-27遊戲