Autoconf教程關(guān)于安裝和拆卸文件系統(tǒng)說(shuō)明
本文Autoconf教程關(guān)于安裝和拆卸文件系統(tǒng)說(shuō)明,從系統(tǒng)管理員的角度討論安全問(wèn)題.系統(tǒng)管理員是管理系統(tǒng)的人:啟動(dòng)系統(tǒng),停止系統(tǒng)運(yùn)行,安裝新軟件,增加新用戶,刪除老用戶,以及完成保持系統(tǒng)發(fā)展和運(yùn)行的日常事務(wù)工作.
Autoconf教程安裝和拆卸文件系統(tǒng)
UNIX文件系統(tǒng)是可安裝的,這意味著每個(gè)文件系統(tǒng)可以連接到整個(gè)目錄樹(shù)的任意節(jié)點(diǎn)上(根目錄總是被安裝上的).安裝文件系統(tǒng)的目錄稱為安裝點(diǎn)./etc/mount命令用于安裝文件系統(tǒng),用這條命令可將文件系統(tǒng)安裝在現(xiàn)有目錄結(jié)構(gòu)的任意處.
安裝文件系統(tǒng)時(shí),安裝點(diǎn)的文件和目錄都是不可存取的,因此未安裝文件系統(tǒng)時(shí),不要將文件存入安裝點(diǎn)目錄.文件系統(tǒng)安裝后,安裝點(diǎn)的存取許可方式和所有者將改變?yōu)樗惭b的文件根目錄的許可方式和所有者.安裝文件系統(tǒng)時(shí)要小心:安裝點(diǎn)的屬性會(huì)改變!還要注意新建的文件,除非新文件系統(tǒng)是由標(biāo)準(zhǔn)文件建立的,系統(tǒng)標(biāo)準(zhǔn)文件會(huì)設(shè)置適當(dāng)?shù)拇嫒≡S可方式,
否則新文件系統(tǒng)的存取許可將是777!可用-r選項(xiàng)將文件系統(tǒng)安裝成只讀文件系統(tǒng).需要寫(xiě)保護(hù)的帶驅(qū)動(dòng)器和磁盤(pán)應(yīng)當(dāng)以這種方式來(lái)安裝.不帶任何參數(shù)的/etc/mount可獲得系統(tǒng)中所安裝的文件系統(tǒng)的有關(guān)信息.包括:文件系統(tǒng)被安裝的安裝點(diǎn)目錄,對(duì)應(yīng)/dev中的哪個(gè)設(shè)備,只讀或可讀寫(xiě),安裝時(shí)間和日期等.
從安全的觀點(diǎn)來(lái)講,可安裝系統(tǒng)的危險(xiǎn)來(lái)自用戶可能請(qǐng)求系統(tǒng)管理員為其安裝用戶自己的文件系統(tǒng).如果安裝了用戶的文件系統(tǒng),則應(yīng)在允許用戶存取文件系統(tǒng)前,先掃描用戶的文件系統(tǒng),搜索SUID/SGID程序和設(shè)備文件.在除了root外任何人不能執(zhí)行的目錄中安裝文件系統(tǒng),用find命令或secure列出可疑文件,刪除不屬用戶所有的文件的SUID/SGID許可.用戶的文件系統(tǒng)用完后,可用umount命令卸下文件系統(tǒng).并將安裝點(diǎn)目錄的所有者改回root,存取許可改為755.
Autoconf教程系統(tǒng)目錄和文件
UNIX系統(tǒng)中有許多文件不允許用戶寫(xiě),如:/bin,/usr/bin,/usr/lbin,/etc/passwd,/usr/lib/crontab,/unix,/etc/rc,/etc/inittab這樣一些文件和目錄(大多數(shù)的系統(tǒng)目錄),可寫(xiě)的目錄允許移動(dòng)文件,會(huì)引起安全問(wèn)題.系統(tǒng)管理員應(yīng)經(jīng)常檢查系統(tǒng)文件和目錄的許可權(quán)限和所有者.可做一個(gè)程序根據(jù)系統(tǒng)提供的規(guī)則文件(在/etc/permlist文件中)所描述的文件所有者和許可權(quán)規(guī)則檢查各文件.(源程序清單將在今后發(fā)表)
注意:如果系統(tǒng)的安全管理不好,或系統(tǒng)是新安裝的,其安全程序不夠高,可以用make方式在安全強(qiáng)的系統(tǒng)上運(yùn)行上述程序,將許可規(guī)則文件拷貝到新系統(tǒng)來(lái),再以設(shè)置方式在新系統(tǒng)上運(yùn)行上述程序,就可提高本系統(tǒng)的安全程序.但要記住,兩個(gè)系統(tǒng)必須運(yùn)行相同的UNIX系統(tǒng)版本.
【編輯推薦】
