Linux(RHEL5)系统安全常规优化(3)

安全 漏洞
在以前的文章中,我们已经向大家介绍了Linux系统安全优化中基本安全措施和使用sudo提升执行权限的配置过程,本文我们将继续向大家介绍文件和文件系统安全优化文件系统层次的安全优化的配置过程。

Linux系统安全优化之文件和文件系统安全优化文件系统层次的安全优化

1.       合理规划系统分区

建议划分为独立分区的目录

/boot   :大小建议在200M以上。

/home  :该目录是用户默认宿主目录所在的上一级文件夹,若服务器用户数量较多,通常无法预知每个用户所使用的磁盘空间大小

/var    : 该目录用于保存系统日志、运行状态、用户邮箱目录等,文件读写频繁。占用空间可能会较多

/opt    : 用于安装服务器的附加应用程序及其他可选工具,方便扩展使用

2.       通过挂载选项禁止执行set位程序、二进制程序

使/var分区中程序文件的执行(x)权限失效,禁止直接执行该分区中二进制程序

 

  1. #  vi  /etc/fstab  
  2.  
  3. /dev/sdc1   /var    ext3    defaults,noexec   1  2  
  4.  
  5. #  mount  -o  remount   /var 

 

如果想要从文件系统层面禁止文件的suid 或 sgid位权限,将上边的noexec改为nosuid即可

3.       锁定不希望更改的系统文件

使用 +i 属性锁定service 、passwd、grub.conf 文件(将不能正常添加系统用户)

#  chattr   +i  /etc/service  /etc/passd  /boot/grub.conf

解除/etc/passwd文件的 +i 锁定属性

 

  1. #  lsattr   /etc/passwd   //查看文件的属性状态  
  2.  
  3. #  chattr   -i   /etc/passwd 

 

Linux系统安全优化之应用程序和服务

1.       关闭不必要的系统服务

2.       禁止普通用户执行init.d目录中的脚本

 

  1. #  chmod  -R  o-rwx  /etc/init.d  
  2.  
  3. 或  
  4.  
  5. #  chmod  -R  750   /etc/init.d 

 

3.       禁止普通用户执行控制台程序

/etc/security/console.apps/目录下每一文件对应一个系统程序,如果不希望普通用户调用这些控制台程序,可以将对应的配置文件移除

 

  1. #  cd  /etc/security/console.apps/  
  2.  
  3. #  tar  jcpvf  /etc/conhlp.pw.tar.bz2  poweroff   halt   reboot  - - remove 

 

4.       去除程序文件中非必需的set-uid 或 set-gid 附加权限

查找系统中设置了set-uid或set-gid权限的文件,并结合 –exec 选项显示这些文件的详细权限属性

#  find  /  -type  f   perm  +6000   -exec  ls  -lh  { }  \  ;

去掉程序文件的suid/sgid位权限

#  chmod  a-s  /tmp/back.vim

编写shell脚本,检查系统中新增加的带有suid或者sgid位权限的程序文件

(1)     在系统处于干净状态时,建立合法suid/sgid文件的列表,作为是否有新增可疑suid文件的比较依据

 

  1. #  find  /  -type  f   -prem  +6000   >  /etc/sfilelist  
  2.  
  3. #  chmod  600  /etc/sfilelist  

 

(2)     建立chksfile脚本文件,与sfilelist比较,输出新增的带suid/sgid属性的文件

 

  1. #  vi  /usr/sbin/chksfile  
  2.  
  3. #!/bin/bash  
  4.  
  5. OLD_LIST=/etc/sfilelist  
  6.  
  7. for  i  in  ` find  /  -type  -prem  +6000 `  
  8.  
  9. do  
  10.  
  11. grep   -F   “$i”  $OLD_LIST  >  /dev/null  
  12.  
  13. [  $?  -ne  0 ]  &&  ls  -lh  $i  
  14.  
  15. done  
  16.  
  17. #  chmod  700  /usr/bin/chkfile 

 

(3)     执行chkfile脚本,检查是否有新增suid/sgid文件

 

  1. #  cp   /bin/touch  /bin/mytouch   //建立测试用程序文件  
  2.  
  3. #  chmod  4755  /bin/mytouch  
  4.  
  5. #  chksfile                    //执行程序脚本,输出检查结果 

 

Linux系统安全优化中文件和文件系统安全优化文件系统层次的安全优化的配置就向大家介绍完了,希望大家已经掌握。

【编辑推荐】

  1. Linux(RHEL5)系统安全常规优化(1)
  2. Linux(RHEL5)系统安全常规优化(2)
  3. Linux(RHEL5)系统安全常规优化(4)
  4. Linux(RHEL5)系统安全常规优化(5)
责任编辑:佚名 来源: 帮考网
相关推荐

2011-03-22 15:47:59

Linux系统安全

2011-03-22 15:53:32

Linux系统安全

2011-03-22 15:47:43

Linux系统安全

2011-03-22 15:47:46

2011-05-16 10:13:51

Linux优化

2009-10-12 10:52:47

RHEL5安全性

2011-03-24 10:11:59

Linux虚拟内存优化

2011-03-24 10:18:44

2010-03-05 09:44:20

Linux系统安全提高

2009-10-09 16:40:45

RHEL5安装

2010-05-12 21:21:43

DNS服务RHEL5

2009-10-10 14:03:44

RHEL5 DNS配置

2009-08-18 19:48:47

2013-03-20 10:39:26

2009-09-03 15:08:14

RHEL5DNS服务配置红帽

2010-04-22 09:53:41

RHEL5无人值守安装

2009-09-03 14:52:59

RHEL5配置局域网红帽

2009-12-07 16:15:08

RHEL5 mysql

2011-05-16 10:23:21

2011-08-05 16:42:35

点赞
收藏

51CTO技术栈公众号