Linux系統(tǒng)安全優(yōu)化之文件和文件系統(tǒng)安全優(yōu)化文件系統(tǒng)層次的安全優(yōu)化

1.       合理規(guī)劃系統(tǒng)分區(qū)

建議劃分為獨立分區(qū)的目錄

/boot   :大小建議在200M以上。

/home  :該目錄是用戶默認宿主目錄所在的上一級文件夾，若服務(wù)器用戶數(shù)量較多，通常無法預(yù)知每個用戶所使用的磁盤空間大小

/var    : 該目錄用于保存系統(tǒng)日志、運行狀態(tài)、用戶郵箱目錄等，文件讀寫頻繁。占用空間可能會較多

/opt    : 用于安裝服務(wù)器的附加應(yīng)用程序及其他可選工具，方便擴展使用

2.       通過掛載選項禁止執(zhí)行set位程序、二進制程序

使/var分區(qū)中程序文件的執(zhí)行（x）權(quán)限失效，禁止直接執(zhí)行該分區(qū)中二進制程序

#  vi  /etc/fstab  
 
/dev/sdc1   /var    ext3    defaults,noexec   1  2  
 
#  mount  -o  remount   /var 

如果想要從文件系統(tǒng)層面禁止文件的suid 或 sgid位權(quán)限，將上邊的noexec改為nosuid即可

3.       鎖定不希望更改的系統(tǒng)文件

使用 +i 屬性鎖定service 、passwd、grub.conf 文件（將不能正常添加系統(tǒng)用戶）

#  chattr   +i  /etc/service  /etc/passd  /boot/grub.conf

解除/etc/passwd文件的 +i 鎖定屬性

#  lsattr   /etc/passwd   //查看文件的屬性狀態(tài)  
 
#  chattr   -i   /etc/passwd 

Linux系統(tǒng)安全優(yōu)化之應(yīng)用程序和服務(wù)

1.       關(guān)閉不必要的系統(tǒng)服務(wù)

2.       禁止普通用戶執(zhí)行init.d目錄中的腳本

#  chmod  -R  o-rwx  /etc/init.d  
 
或  
 
#  chmod  -R  750   /etc/init.d 

3.       禁止普通用戶執(zhí)行控制臺程序

/etc/security/console.apps/目錄下每一文件對應(yīng)一個系統(tǒng)程序，如果不希望普通用戶調(diào)用這些控制臺程序，可以將對應(yīng)的配置文件移除

#  cd  /etc/security/console.apps/  
 
#  tar  jcpvf  /etc/conhlp.pw.tar.bz2  poweroff   halt   reboot  - - remove 

4.       去除程序文件中非必需的set-uid 或 set-gid 附加權(quán)限

查找系統(tǒng)中設(shè)置了set-uid或set-gid權(quán)限的文件，并結(jié)合 –exec 選項顯示這些文件的詳細權(quán)限屬性

#  find  /  -type  f   perm  +6000   -exec  ls  -lh  { }  \  ;

去掉程序文件的suid/sgid位權(quán)限

#  chmod  a-s  /tmp/back.vim

編寫shell腳本，檢查系統(tǒng)中新增加的帶有suid或者sgid位權(quán)限的程序文件

（1）     在系統(tǒng)處于干凈狀態(tài)時，建立合法suid/sgid文件的列表，作為是否有新增可疑suid文件的比較依據(jù)

#  find  /  -type  f   -prem  +6000   >  /etc/sfilelist  
 
#  chmod  600  /etc/sfilelist  

（2）     建立chksfile腳本文件，與sfilelist比較，輸出新增的帶suid/sgid屬性的文件

#  vi  /usr/sbin/chksfile  
 
#!/bin/bash  
 
OLD_LIST=/etc/sfilelist  
 
for  i  in  ` find  /  -type  -prem  +6000 `  
 
do  
 
grep   -F   “$i”  $OLD_LIST  >  /dev/null  
 
[  $?  -ne  0 ]  &&  ls  -lh  $i  
 
done  
 
#  chmod  700  /usr/bin/chkfile 

（3）     執(zhí)行chkfile腳本，檢查是否有新增suid/sgid文件

#  cp   /bin/touch  /bin/mytouch   //建立測試用程序文件  
 
#  chmod  4755  /bin/mytouch  
 
#  chksfile                    //執(zhí)行程序腳本，輸出檢查結(jié)果 

Linux系統(tǒng)安全優(yōu)化中文件和文件系統(tǒng)安全優(yōu)化文件系統(tǒng)層次的安全優(yōu)化的配置就向大家介紹完了，希望大家已經(jīng)掌握。

【編輯推薦】

1. Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（1）
2. Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（2）
3. Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（4）
4. Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（5）