Linux系统下的阿里云服务器 ECS 文件权限加固简介

发布时间:2018-07-16 14:50:06
发布:凯铧互联

Linux 系统中常常会因为设置了不正确的文件或目录权限导致出现系统安全问题。因此在日常的系统维护中,应该能做到及时发现不正确的文件权限设置并能及时修正,防患于未然,这里介绍几种用安全加固的方法:

1. 查找系统中任何用户都拥有写入权限的文件或者目录,并保存在文件中用于检查。

find / - type f –perm -2 -o –perm -20 > wmodfiles.txt
find / - type d –perm -2 -o –perm -20 > wmoddir.txt
2. 查找系统中没有属主的文件

find / -nouser –o –nogroup > orphan.txt
这种无属主的文件对于系统的安全也能造成一定的威胁,有时候也会成为入侵者的工具,建议发现之后,要么修改其属主信息,要么删除,以免后患。

3. 查找系统中设置了 S 位的程序

find / -type f -perm -4000 –o –perm -2000 > smod.txt
含有 S 位权限的程序对系统的威胁很大,可以把某些没必要使用 S 位权限的应用程序去掉,以防用户权限的滥用。

4.利用 chatter 命令来锁定系统的重要文件。

指令使用格式:
chatter [-RV] [-v version] [mode] files…
主要参数说明:

-R:递归的修改一个目录下的所有文件以及相应的子目录。
-V:显示修改内容,并在屏幕上打印输出。
Mode:部分是用来设置或修改文件属性的,一般常用的参数是:
+:在原属性上追加属性。
-:在原属性上移除属性。
a: 在设定该参数后只能向文件中添加数据而不能删除文件,常用于服务器的系统日志安全(只有root用户才能设定该属性)。
i:在设定该参数后该文件不能被写入数据或者被修改,删除,重命名,设定连接等。
在基本了解该命令的用法后,可以对系统中的常见文件设定安全属性了,示例:

111

另外,用户也可以对常见目录,例如/bin、/boot、/lib等目录加上 i 属性,对系统常用的日志文件例如 /var/log/messages 和 /var/log/wtmp 也可以加上 a 属性。

虽然通过对重要文件进行加锁的方式能让服务器的安全性提高,但是在运维管理上也会出现一些不方便,例如修改密码时因为 /etc/shadow 文件有 i 属性,会导致密码修改失败。同时对日志文件加入 a 属性,可能会使得日志轮换功能 logrotate 的失败。另外,在软件的安装和升级时可能需要去掉有关目录和文件的 i 属性和 a 属性。

所以,建议用户使用 chattr 命令锁定系统文件时,必须要结合服务器的应用环境来决定是否应用 a 属性和 i 属性。

 

以上就是Linux系统下的阿里云服务器 ECS 文件权限加固简介说明,如果您还有阿里云服务器/阿里云产品折扣以及阿里云技术服务等,请您直接联系本站客服,阿里云代理商凯铧互联为您提供一对一服务。 阿里云代理商凯铧互联会为您提供专业全面的技术服务,同时还能为您提供阿里云产品购买的专属折扣优惠。通过凯铧互联购买可以获得折上折优惠!若您需要帮助可以直接联系我方客服,阿里云代理商凯铧互联专业技术团队为您提供全面便捷专业的7x24技术服务。 电话专线:136-5130-9831,QQ:3398234753。

为什么选择我们:北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里巴巴、腾讯等,作为阿里云,腾讯云百度云,金山云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承"专业规划、周到服务"的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。