Linux系統(tǒng)安全優(yōu)化之系統(tǒng)引導(dǎo)和登錄安全優(yōu)化文件系統(tǒng)層次的安全優(yōu)化

1. 合理規(guī)劃系統(tǒng)分區(qū)

建議劃分為獨(dú)立分區(qū)的目錄

/boot :大小建議在200M以上。

/home :該目錄是用戶默認(rèn)宿主目錄所在的上一級(jí)文件夾，若服務(wù)器用戶數(shù)量較多，通常無法預(yù)知每個(gè)用戶所使用的磁盤空間大小

/var : 該目錄用于保存系統(tǒng)日志、運(yùn)行狀態(tài)、用戶郵箱目錄等，文件讀寫頻繁。占用空間可能會(huì)較多

/opt : 用于安裝服務(wù)器的附加應(yīng)用程序及其他可選工具，方便擴(kuò)展使用

2. 通過掛載選項(xiàng)禁止執(zhí)行set位程序、二進(jìn)制程序

使/var分區(qū)中程序文件的執(zhí)行(x)權(quán)限失效，禁止直接執(zhí)行該分區(qū)中二進(jìn)制程序

# vi /etc/fstab

/dev/sdc1 /var ext3 defaults,noexec 1 2

# mount -o remount /var

如果想要從文件系統(tǒng)層面禁止文件的suid 或 sgid位權(quán)限，將上邊的noexec改為nosuid即可

3. 鎖定不希望更改的系統(tǒng)文件

使用 +i 屬性鎖定service 、passwd、grub.conf 文件(將不能正常添加系統(tǒng)用戶)

# chattr +i /etc/service /etc/passd /boot/grub.conf

解除/etc/passwd文件的 +i 鎖定屬性

# lsattr /etc/passwd //查看文件的屬性狀態(tài)

# chattr -i /etc/passwd

Linux系統(tǒng)安全優(yōu)化之應(yīng)用程序和服務(wù)

1. 關(guān)閉不必要的系統(tǒng)服務(wù)

2. 禁止普通用戶執(zhí)行init.d目錄中的腳本

# chmod -R o-rwx /etc/init.d

或

# chmod -R 750 /etc/init.d

3. 禁止普通用戶執(zhí)行控制臺(tái)程序

/etc/security/console.apps/目錄下每一文件對(duì)應(yīng)一個(gè)系統(tǒng)程序，如果不希望普通用戶調(diào)用這些控制臺(tái)程序，可以將對(duì)應(yīng)的配置文件移除

# cd /etc/security/console.apps/

# tar jcpvf /etc/conhlp.pw.tar.bz2 poweroff halt reboot - - remove

4. 去除程序文件中非必需的set-uid 或 set-gid 附加權(quán)限

查找系統(tǒng)中設(shè)置了set-uid或set-gid權(quán)限的文件，并結(jié)合 –exec 選項(xiàng)顯示這些文件的詳細(xì)權(quán)限屬性

# find / -type f perm +6000 -exec ls -lh { } \ ;

去掉程序文件的suid/sgid位權(quán)限

# chmod a-s /tmp/back.vim

編寫shell腳本，檢查系統(tǒng)中新增加的帶有suid或者sgid位權(quán)限的程序文件

(1) 在系統(tǒng)處于干凈狀態(tài)時(shí)，建立合法suid/sgid文件的列表，作為是否有新增可疑suid文件的比較依據(jù)

# find / -type f -prem +6000 > /etc/sfilelist

# chmod 600 /etc/sfilelist

(2) 建立chksfile腳本文件，與sfilelist比較，輸出新增的帶suid/sgid屬性的文件

# vi /usr/sbin/chksfile

#!/bin/bash

OLD_LIST=/etc/sfilelist

for i in ` find / -type -prem +6000 `

do

grep -F “$i” $OLD_LIST > /dev/null

[ $? -ne 0 ] && ls -lh $i

done

# chmod 700 /usr/bin/chkfile

(3) 執(zhí)行chkfile腳本，檢查是否有新增suid/sgid文件

# cp /bin/touch /bin/mytouch //建立測(cè)試用程序文件

# chmod 4755 /bin/mytouch

# chksfile //執(zhí)行程序腳本，輸出檢查結(jié)果

Linux系統(tǒng)安全優(yōu)化中系統(tǒng)引導(dǎo)和登錄安全優(yōu)化文件系統(tǒng)層次的安全優(yōu)化的配置就向大家介紹完了，希望大家已經(jīng)掌握。

【編輯推薦】

1. Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（1）
2. Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（2）
3. Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（3）
4. Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（5）