Linux操作系統(tǒng)安全技術(shù)介紹

1、Linux操作系統(tǒng)安全技術(shù)介紹技術(shù)創(chuàng)新 變革未來知識體系2Linux系統(tǒng)安全知識體知識域賬戶安全知識子域賬戶的基本概念文件系統(tǒng)安全日志分析賬戶風險與安全策略文件系統(tǒng)的格式安全訪問與權(quán)限設(shè)置系統(tǒng)日志的分類系統(tǒng)日志的審計方法Linux系統(tǒng)標識與鑒別-安全主體安全主體用戶：身份標識（User ID）組：身份標識（Group ID）用戶與組基本概念文件必須有所有者用戶必須屬于某個或多個組用戶與組的關(guān)系靈活（一對多、多對多等都可以）根用戶擁有所有權(quán)限Linux系統(tǒng)標識與鑒別-帳號信息存儲信息存儲用戶信息：/etc/passwd/etc/shadow組信息/etc/group/etc/gshadow用戶信

2、息文件-passwd用于存放用戶信息（早期包括使用不可逆DES算法加密形成用戶密碼散列）特點文本格式全局可讀存儲條目格式name:coded-passwd:UID:GID:userinfo:homedirectory:shell條目例子demo:x:523:100:J.demo:/home/demo:/bin/sh用戶名早期：密碼散列X:代替密碼散列*:賬號不可交互登錄用戶ID用戶所屬組ID用戶信息用戶目錄用戶登錄后使用的shell用戶帳號影子文件-shadow用于存放用戶密碼散列、密碼管理信息等特點文本格式僅對root可讀可寫存儲條目格式name:passwd:lastchg:min:max

3、:warn:inactive:expire:flag條目例子#root:$1$acQMceF9:13402:0:99999:7:用戶登錄名及加密的用戶口令上次修改口令日期口令兩次修改最小天數(shù)及最大天數(shù)口令失效前多少天向用戶警告被禁止登錄前還有效天數(shù)帳號被禁止登錄時間保留域Linux系統(tǒng)身份鑒別口令鑒別本地登錄遠程登錄（telnet、FTP等）主機信任（基于證書）PAM（PluggableAuthenticationModules,可插拔驗證模塊）PAM APIlogintelnetSSHLinuxKerberosS/keyPAM SPILinux系統(tǒng)訪問控制-權(quán)限模式文件/目錄權(quán)限基本概念權(quán)限

4、類型：讀、寫、執(zhí)行權(quán)限表示方式：模式位drwxr-xr-x 3 root root 1024 Sep 13 11:58 test文件類型：d為文件夾 -是文件文件擁有者的權(quán)限（U）文件擁有者所在組其他用戶的權(quán)限（G）系統(tǒng)中其他用戶權(quán)限（O）鏈接數(shù)文件擁有者UID文件擁有者GID文件大小最后修改時間文件名Linux系統(tǒng)訪問控制-權(quán)限模式權(quán)限的數(shù)字表示法權(quán)限的特殊屬性 SUID、SGID、Sticky（防刪除）-r-s-x-x 1 root root 10704 Apr 15 2002 /usr/bin/passwd SUID程序Linux系統(tǒng)安全審計-日志系統(tǒng)系統(tǒng)日志類型連接時間日志/var/l

5、og/wtmp和/var/run/utmp由多個程序執(zhí)行，記錄用戶登錄時間進程統(tǒng)計由系統(tǒng)內(nèi)核執(zhí)行，為系統(tǒng)基本服務(wù)提供命令使用統(tǒng)計錯誤日志/var/log/messages由syslogd守護記錄，制定注意的事項應(yīng)用程序日志應(yīng)用程序如（HTTP、FTP）等創(chuàng)建的日志Linux文件系統(tǒng)文件系統(tǒng)類型日志文件系統(tǒng)：Ext4、Ext3、Ext2、ReiserFS、XFS、JFS等文件系統(tǒng)安全訪問權(quán)限文件系統(tǒng)加密eCryptfs（Enterprise Cryptographic Filesystem）基于內(nèi)核，安全性高，用戶操作便利加密元數(shù)據(jù)寫在每個加密文件的頭部，方便遷移，備份文件系統(tǒng)目錄結(jié)構(gòu)/home

6、 bin proc usr boot lib dev etc varftp ljw linux bin lib man tmp lib log run spool tmpLinux系統(tǒng)的特權(quán)管理特權(quán)劃分分割管理權(quán)限，30多種管理特權(quán)根用戶（root）擁有所有特權(quán)普通用戶特權(quán)操作實現(xiàn)setuid setgid特權(quán)保護：保護root賬號不直接使用root登錄，普通用戶su成為root控制root權(quán)限使用Linux系統(tǒng)安全設(shè)置1、安全配置前置工作2、賬號和口令安全3、系統(tǒng)服務(wù)配置4、遠程登錄安全5、文件和目錄安全6、系統(tǒng)日志配置7、使用安全軟件Linux設(shè)置-安全配置前置工作系統(tǒng)安裝使用官方/正版軟

7、件分區(qū)掛載重要目錄根目錄（/）、用戶目錄（/home）、臨時目錄（/tmp）等應(yīng)分開到不同的磁盤分區(qū)自定義安裝，選擇需要的軟件包不安裝全部軟件包，尤其是那些不需要的網(wǎng)絡(luò)服務(wù)包系統(tǒng)補丁及時安裝系統(tǒng)補丁更新補丁前，要求先在測試系統(tǒng)上對補丁進行可用性和兼容性驗證Linux設(shè)置賬號和口令安全賬號通用配置保護root賬號口令安全策略賬號和口令安全賬號通用配置（1）檢查、清除系統(tǒng)中多余賬號檢查#cat /etc/passwd#cat /etc/shadow清除多余賬號鎖定賬號特殊保留的系統(tǒng)偽賬戶，可以設(shè)置鎖定登錄鎖定命令：#passwd -l 解鎖命令：#passwd -u 賬號和口令安全賬號通用配置（2

8、）禁用root之外的超級用戶打開系統(tǒng)賬號文件/etc/passwd若用戶ID=0，則表示該用戶擁有超級用戶的權(quán)限檢查是否有多個ID=0禁用或刪除多余的賬號賬號和口令安全賬號通用配置（3）檢查是否存在空口令賬號執(zhí)行命令#awk -F: ( $2= ) print $1 /etc/shadow如果存在空口令賬號，則對其進行鎖定，或要求增加密碼要確認空口令賬戶是否和已有應(yīng)用關(guān)聯(lián)，增加密碼是否會引起應(yīng)用無法連接的問題賬號和口令安全賬號通用配置（3）設(shè)置賬戶鎖定登錄失敗鎖定次數(shù)、鎖定時間修改賬戶超時值，設(shè)置自動注銷時間賬號和口令安全保護root賬號root賬號權(quán)限很高保護措施禁止使用root登錄系統(tǒng)只允

9、許普通用戶登陸，然后通過su命令切換到root不要隨意把root shell留在終端上；不要把當前目錄(“ . /”)和普通用戶的bin目錄放在root賬號的環(huán)境變量PATH中永遠不以root運行其他用戶的或不熟悉的程序賬號和口令安全口令安全策略口令安全策略要求使用安全口令口令長度、字符要求口令修改策略強制口令使用有效期設(shè)置口令修改提醒設(shè)置賬戶鎖定登錄失敗鎖定次數(shù)、鎖定時間vi/etc/login.def PASS_MAX_DAYS90PASS_MIN_DAYS7PASS_MIN_LEN6PASS_WARN_AGE28Linux設(shè)置系統(tǒng)服務(wù)配置禁止危險的網(wǎng)絡(luò)服務(wù)telnet、FTPecho、c

10、hargen、shell、finger、NFS、RPC等關(guān)閉非必需的網(wǎng)絡(luò)服務(wù)talk、ntalk等確保最新版本使用當前最新和最安全的版本的服務(wù)軟件關(guān)閉郵件服務(wù)：chkconfig -level 12345 sendmail off關(guān)閉圖形登錄服務(wù)：編輯/etc/inittab文件，修改為id:3:initdefault:關(guān)閉X font服務(wù)：chkconfig xfs offLinux設(shè)置遠程登錄安全禁用telnet,使用SSH進行管理限制能夠登錄本機的IP地址禁止root用戶遠程登陸限定信任主機修改banner信息遠程登錄安全使用SSH/限制登錄IP禁用telnet,使用SSH進行管理開啟s

11、sh服務(wù)：#service sshd start限制能夠登錄本機的IP地址#vi /etc/ssh/sshd_config添加（或修改）：AllowUsers xyz3允許用戶xyz通過地址3來登錄本機AllowUsers *192.168.*.*僅允許/16網(wǎng)段所有用戶通過ssh訪問。遠程登錄安全禁止root/限定信任主機禁止root用戶遠程登陸#cat /etc/ssh/sshd_config確保PermitRootLogin為no限定信任主機#cat /etc/hosts.equiv#cat /$HOME/.rhosts查看上述兩個文件中的主機，刪除其中不必要的主機，防止存在多余的信任主

12、機或直接關(guān)閉所有R系列遠程服務(wù)rloginrshrexec遠程登錄安全修改banner信息系統(tǒng)banner信息一般會給出操作系統(tǒng)名稱、版本號、主機名稱等修改banner信息查看修改sshd_config#vi /etc/ssh/sshd_config如存在，則將banner字段設(shè)置為NONE查看修改motd：#vi /etc/motd 該處內(nèi)容將作為banner信息顯示給登錄用戶。查看該文件內(nèi)容，刪除其中的內(nèi)容，或更新成自己想要添加的內(nèi)容Linux設(shè)置文件和目錄安全設(shè)置文件目錄權(quán)限設(shè)置默認umask值檢查SUID/SGID文件文件和目錄安全設(shè)置文件目錄權(quán)限保護重要的文件目錄，限制用戶訪問設(shè)置文

13、件的屬主和屬性以進行保護極其重要的文件或目錄可以設(shè)置為不可改變屬性chattr+i/etc/passwd臨時文件不應(yīng)該有執(zhí)行權(quán)限常見文件權(quán)限及屬性的操作命令：chmod、chown、chattr文件和目錄安全設(shè)置默認umask值設(shè)置新創(chuàng)建文件的默認權(quán)限掩碼可以根據(jù)要求設(shè)置新文件的默認訪問權(quán)限，如僅允許文件屬主訪問，不允許其他人訪問umask設(shè)置的是權(quán)限“補碼”設(shè)置方法使用umask命令如 #umask 066編輯/etc/profile文件，設(shè)置umask值文件和目錄安全檢查SUID/SGID文件SUID/SGID的程序在運行時，將有效用戶ID改變?yōu)樵摮绦虻乃姓?組)ID。因而可能存在一定的

14、安全隱患找出系統(tǒng)中所有含s“位的程序,把不必要的”s“位去掉,或者把根本不用的直接刪除,這樣可以防止用戶濫用及提升權(quán)限的可能性,其命令如下：查找SUID可執(zhí)行程序#find/-perm-4000-user0ls查找SGID程序#find/-perm-2000-user0lsLinux設(shè)置系統(tǒng)日志配置（1）保護日志文件審查日志中不正常情況非常規(guī)時間登錄日志殘缺Su的使用服務(wù)的啟動情況Linux設(shè)置系統(tǒng)日志配置（2）啟用syslogd服務(wù)配置日志存儲策略打開/etc/logrotate.d/syslog文件，檢查其對日志存儲空間的大小和時間的設(shè)置使用syslog設(shè)備Syslog.conf設(shè)置使用s

15、yslog日志服務(wù)器Linux設(shè)置使用安全軟件啟用主機防火墻使用最新版本安全軟件使用安全軟件使用主機防火墻（1）Linux下的防火墻框架iptables包過濾NAT數(shù)據(jù)包處理Iptables基本規(guī)則Iptables -t table command matchtargetIptables基本應(yīng)用Iptables A INPUT s j ACCEPTIptables D INPUT p tcp -dport 80 j DROP使用安全軟件使用主機防火墻（2）Iptables已內(nèi)嵌到Linux系統(tǒng)中功能較強大建議設(shè)置Linux開機后自動啟動該防火墻使用安全軟件使用最新版本安全軟件使用官方安全軟件o

16、pensshopensslsnort使用最新版軟件及時消除安全隱患知識域：操作系統(tǒng)安全知識子域：安全操作系統(tǒng)了解安全操作系統(tǒng)的發(fā)展了解安全操作系統(tǒng)的設(shè)計原則安全操作系統(tǒng)概念操作系統(tǒng)安全安全設(shè)置安全增強安全操作系統(tǒng)可信計算機系統(tǒng)評價標準（Truested Computer Security Evaluation Critria，TCSEC）可信操作系統(tǒng)安全操作系統(tǒng)研究概況1965年，Multics1973年，安全模型BLP模型：信息的保密性Biba模型：信息的完整性1969年，Adept-501986年，SeeureXeniX，B21987年，TMach(TrustedMach)，B3近年來Tr

17、usted BSDSELinuxAppArmorSELinux簡介SELinux安全增強Linux（Security Enhanced Linux）安全子系統(tǒng)強制訪問控制（MAC）美國國家安全局開發(fā)以GNU GPL形式開源發(fā)布Linux系統(tǒng)安全用戶類型Linux用戶類型分為三類：超級用戶、系統(tǒng)用戶和普通用戶超級用戶：用戶名為root或USER ID（UID）為0的賬號，具有一切權(quán)限，可以操作系統(tǒng)中的所有資源。Root用戶可以進行基礎(chǔ)的文件操作及特殊的系統(tǒng)管理，可以修改系統(tǒng)中的任何文件。系統(tǒng)用戶：正常運行系統(tǒng)時使用的賬戶。每個進程運行在系統(tǒng)里都有一個相應(yīng)的屬主，比如某個進程以何種身份運行，這些身

18、份就是系統(tǒng)里對應(yīng)的用戶賬號。普通用戶：普通使用者能使用Linux的大部分資源，一些特定的權(quán)限受到控制。用戶只對自己的目錄有寫權(quán)限，讀寫權(quán)限受一定的限制，有效保證了系統(tǒng)安全性。賬戶安全Linux系統(tǒng)安全用戶管理Linux用戶管理涉及的文件：用戶賬號文件/etc/passwd、用戶密碼文件/etc/shadow、用戶組文件/etc/group。/etc/passwd文件中的每一行代表一個單獨的用戶，每一個用戶的屬性信息不同字段之間用“:”隔開。從左到右依次是用戶名、密碼、用戶ID、主組ID、用戶全稱、主目錄和登錄shell。為了保證安全，/etc/passwd文件中的用戶密碼均使用“x”代替，而所

19、有密碼均經(jīng)過加密后保存在/etc/shadow文件中如圖所示，用戶root的用戶名為“root”，密碼屏蔽，用戶ID為0，主組ID為0，用戶全稱為root，主目錄位于/root，登錄Shell為/bin/bash。賬戶安全Linux系統(tǒng)安全2. /etc/shadow文件格式：用戶名：密碼：上次修改密碼的時間：兩次修改密碼間隔的最少天數(shù)：兩次修改密碼間隔的最多天數(shù)：提前幾天警告用戶密碼過期：密碼過期幾天禁用用戶：過期時間：保留字段系統(tǒng)中所有用戶的用戶密碼保存在/etc/shadow文件中。所有的密碼都是經(jīng)過MD5算法加密處理過的，只有具備超級用戶權(quán)限才能查看這個文件3./etc/skel目錄在

20、Linux系統(tǒng)中創(chuàng)建一個新用戶時，系統(tǒng)會自動把/etc/skel目錄下的所有內(nèi)容（包括目錄、文件等）復制到新用戶的主目錄“/home/”下。/etc/skel目錄是一個配置文件框架，里面包含了一些默認配置文件，如.bashrc、 .bash_profile等賬戶安全Linux系統(tǒng)安全用戶組屬性1.組賬戶信息文件 /etc/group/etc/group文件中保存的是系統(tǒng)中所有組的屬性信息。每一行代表一個單獨的組，每一個組的屬性信息分別用“:”隔開。各字段從左到右依次是組名、密碼、組ID和用戶列表。2. 組密碼信息文件 /etc/gshadow/etc/gshadow文件用于保存系統(tǒng)中所有組的密

21、碼和/etc/shadow一樣所有的密碼都經(jīng)過MD5算法加密處理，只有超級用戶才能查看。賬戶安全Linux系統(tǒng)安全用戶管理1. useradd-u 指定新建用戶的用戶ID。-c 指定新建用戶的用戶全稱。-d 指定新建用戶的主目錄。-g 指定新建用戶的主組。-G 指定新建用戶所屬的附加組。-s 指定新建用戶的登錄shell。-m 強制建立用戶的主目錄。賬戶安全2.passwd設(shè)置、修改用戶密碼，還可以鎖定用戶賬戶等。passwd命令的常用選項包括：-d 刪除用戶密碼。-l 鎖定指定用戶賬戶。-u 解除指定用戶賬戶鎖定。-S 顯示指定用戶賬戶的狀態(tài)。對于普通用戶，要修改其他用戶的密碼，首先需要獲得

22、權(quán)限（使用sudo命令），否則只能修改自己的賬戶密碼。Linux系統(tǒng)安全3.usermod使用usermod命令可以修改用戶的屬性信息。usermod命令的常用選項包括：-c 指定用戶的用戶全稱。-d 指定用戶的主目錄。-u 修改用戶的用戶ID。-g 指定用戶的主組。-G 指定用戶所屬的附加組。-s 指定用戶的登錄shell。-l 更改用戶的用戶名。賬戶安全4.userdel使用userdel命令可以刪除指定用戶賬戶，配合“-r”命令選項，還可以將該用戶的主目錄一起刪除。例如，若管理員需要把系統(tǒng)中的test2用戶及其主目錄刪除，則可以執(zhí)行命令 userdel -r test2Linux系統(tǒng)安全

23、用戶組管理用戶組就是具有相同特征的用戶集合。每個用戶都有一個用戶組，系統(tǒng)能對一個用戶組中的所有用戶進行集中管理，可以把相同屬性的用戶定義到同一用戶組，并賦予該用戶組一定的操作權(quán)限，這樣用戶組下的用戶對該文件或目目錄都具備了相同的權(quán)限。通過對/etc/group文件的更新實現(xiàn)對用戶組的添加、修改和刪除。一個用戶可以屬于多個組，/etc/passwd中定義的用戶組為基本組，用戶所屬的組有基本組和附加組。如果一個用戶屬于多個組，則該用戶所擁有的權(quán)限是它所在的組的權(quán)限之和。賬戶安全Linux系統(tǒng)安全1.groupadd使用groupadd命令，用戶可以創(chuàng)建一個私人組。執(zhí)行這一命令的結(jié)果就是在/etc/

24、group和/etc/gshadow文件中增加一行信息。例如：創(chuàng)建組ID為1111的用戶組test，可以執(zhí)行：groupadd g 1111 test2. groupmod使用groupmod命令可以修改指定組的屬性。例如：要將系統(tǒng)中已經(jīng)存在的組ID為1111的組test修改組名為test1、組ID為1112，可執(zhí)行命令：groupmod g 1112 n test1 test3.groupdel使用groupdel命令可以刪除指定組。例如要將系統(tǒng)中已經(jīng)存在的組test1刪除，可執(zhí)行命令：groupdel test1賬戶安全Linux系統(tǒng)安全用戶口令管理 空口令風險：用戶賬戶如果設(shè)置了空口令，

25、其它用戶可以不需要任何技術(shù)手段進入計算機，訪問瀏覽空口令用戶下的任何數(shù)據(jù)。 使用下面命令檢查空口令賬戶是否存在 rootlocalhost # awk -F: ($2=) print $1 /etc/shadow賬戶安全Linux系統(tǒng)安全用戶口令策略管理為防止用戶使用弱口令或空口令，應(yīng)在操作系統(tǒng)中配置安全策略，防止該類事件發(fā)生。除此之外還應(yīng)對帳號口令的生存期，root的遠程登錄，禁止su到root等策略進行設(shè)置口令復雜度策略設(shè)置Vi /etc/pam.d/system-auth password requisite pam_cracklib.so 將其修改為:password requisit

26、e pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8注釋：至少包含一個數(shù)字、一個小寫字母、一個大寫字母、一個特殊字符、且密碼長度=8賬戶安全Linux系統(tǒng)安全口令生存期Vi /etc/login.defs PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數(shù)不大于90 PASS_MIN_DAYS 10 #新建用戶的密碼最短使用天數(shù)為10 PASS_WARN_AGE 7 #新建用戶的密碼到期提前提醒天數(shù)為7Root遠程登錄 vi /etc/ssh/ssh

27、d_config PermitRootLogin no #則禁止了root從ssh登錄。賬戶安全Linux系統(tǒng)安全禁止su到rootVi /etc/pam.d/su 添加下面兩行 authsufficientpam_rootok.so authrequiredpam_wheel.so group=wheel設(shè)置用戶登錄失敗N次鎖定Vi /etc/pam.d/sshdauth required pam_tally2.so deny=3 unlock_time=120 even_deny_root root_unlock_time=60賬戶安全Linux系統(tǒng)安全Linux文件系統(tǒng)簡介在linux操

28、作系統(tǒng)中，文件系統(tǒng)采用梳妝的層次的目錄結(jié)構(gòu)，最頂層是根目錄，用“/”表示，往下延伸其各級子目錄文件系統(tǒng)安全Linux系統(tǒng)安全文件系統(tǒng)安全系統(tǒng)目錄文件系統(tǒng)說明/rootroot 文件系統(tǒng)是文件系統(tǒng)的頂級目錄。它必須包含在掛載其它文件系統(tǒng)前需要用來啟動 Linux 系統(tǒng)的全部文件。它必須包含需要用來啟動剩余文件系統(tǒng)的全部可執(zhí)行文件和庫。文件系統(tǒng)啟動以后，所有其他文件系統(tǒng)作為 root 文件系統(tǒng)的子目錄掛載到標準的、預定義好的掛載點上。/bin目錄包含用戶的可執(zhí)行文件/boot包含啟動linux系統(tǒng)所需要的靜態(tài)引導程序和內(nèi)核可執(zhí)行文件以及配置文件/dev包含每一個鏈接到系統(tǒng)的硬件設(shè)備的設(shè)備文件，不是

29、驅(qū)動，而是計算機上能夠訪問的設(shè)備/etc包含主機計算機的本地系統(tǒng)配置文件/home主目錄存儲用戶文件，每一個用戶都有一個位于/home目錄中的子目錄/lib包含啟動系統(tǒng)所需要的共享庫文件/opt可選文件/sbin系統(tǒng)二進制文件，用于系統(tǒng)管理的可執(zhí)行文件/tmp臨時目錄/var可變數(shù)據(jù)文件存儲，包括日志文件、mysql和其他的數(shù)據(jù)庫文件/usr包含可共享、只讀的文件，包括可執(zhí)行的二進制文件和庫等Linux系統(tǒng)安全Linux主要的文件系統(tǒng)類型文件系統(tǒng)安全文件系統(tǒng)類型文件系統(tǒng)說明Ext第一個專門針對liunx的文件系統(tǒng)Ext2為解決ext文件系統(tǒng)缺陷設(shè)計的高性能、可擴展的文件系統(tǒng)Ext3日志文件系統(tǒng)

30、，ext2的升級版Ext4Ext4提供了更為可靠性的功能swapLinux的交換分區(qū)NFSLinux的網(wǎng)絡(luò)文件系統(tǒng)smb支持smb協(xié)議的網(wǎng)絡(luò)文件系統(tǒng)vfat與windows系統(tǒng)兼容的linux文件系統(tǒng)ntfswindowsNT所采用的獨特的文件系統(tǒng)結(jié)構(gòu)procLinux操作系統(tǒng)中的一種基于內(nèi)存的偽文件系統(tǒng)xfs由SGI開發(fā)的一個全64位、快速、安全的日志文件系統(tǒng)Linux系統(tǒng)安全查看文件屬性 ls命令-a：列出指定目錄下的所有文件和子目錄（包括以“.”開頭的隱含文件）。-b：如果文件或目錄名中有不可顯示的字符時，顯示該字符的八進制值。-c：以文件狀態(tài)信息的最后一次更新時間進行排序。-d：如果是

31、目錄，則顯示目錄的屬性而不是目錄下的內(nèi)容。-g：與-l選項類似，但不顯示文件或目錄的所有者信息。-G：與-l選項類似，但不顯示文件或目錄所有者的用戶組信息。-l：使用長格式顯示文件或目錄的詳細屬性信息。-n：與-l選項類似，但以UID和GID代替文件或目錄所有者和用戶組信息。-R：以遞歸方式顯示目錄下的各級子目錄和文件。文件系統(tǒng)安全Linux系統(tǒng)安全系統(tǒng)文件屬性第1部分：由10個字符組成，第一個字符用于標識文件的類型，其中“-”表示普通文件，d表示目錄，l表示鏈接文件，s表示套接字文件，p表示命名管道文件，c表示字符設(shè)備文件，b表示塊設(shè)備文件。第2部分：以冒號分隔，冒號前的是文件的所有者，冒號

32、后為文件所有者的用戶組。在圖中，文件的所有者是root，用戶組也是root。第3部分：表示文件的鏈接數(shù)第4部分：以字節(jié)為單位的文件大小第5、6、7部分：表示文件最后更新的時間第8部分：文件名文件系統(tǒng)安全Linux系統(tǒng)安全文件類型Linux有4種基本文件系統(tǒng)類型：普通文件、目錄文件、鏈接文件和特殊文件。通過ls-l命令可以返回文件的相關(guān)屬性，其中第一個字符就是用于標識文件的類型。普通文件普通文件包括文本文件、程序代碼文件、Shell腳本、二進制的可執(zhí)行文件等，系統(tǒng)中的絕大部分文件都屬于這種類型。目錄文件目錄是被作為一個文件來對待，其標識值為d。目錄下可以包括文件和子目錄。鏈接文件鏈接文件其實是一

33、個指向文件的指針，通過鏈接文件，用戶訪問的將會是指針所指向的文件。文件系統(tǒng)安全Linux系統(tǒng)安全文件類型特殊文件在Linux系統(tǒng)中有以下3種特殊文件。套接字（socket）文件：通過套接字文件，可以實現(xiàn)網(wǎng)絡(luò)通信。套接字文件的標識值為s。命名管道文件：通過管道文件，可以實現(xiàn)進程間的通信。命名管道文件的標識值為p。設(shè)備文件：Linux為每個設(shè)備分配一個設(shè)備文件，它們存放于/dev目錄下，分字符設(shè)備文件和塊設(shè)備文件。其中，鍵盤、tty等屬于字符設(shè)備，其標識值為c；內(nèi)存、磁盤等屬于塊設(shè)備文件，標識值為b。文件系統(tǒng)安全Linux系統(tǒng)安全文件和目錄權(quán)限在Linux中的每一個文件或目錄都有自己的訪問權(quán)限，這

34、些訪問權(quán)限決定了誰能訪問和如何訪問這些文件和目錄。文件系統(tǒng)安全權(quán)限文件目錄r可以查看文件的內(nèi)容，可以使用cat、more、less等命令查看文件的內(nèi)容可以列出目錄中的內(nèi)容，可以使用ls命令列出目錄內(nèi)容w可以更改文件的內(nèi)容，可以使用vi等文本編輯工具編輯文件的內(nèi)容可以在目錄中添加刪除文件，可以使用mv、rm等命令對目錄中的文件進行操作x可以執(zhí)行文件，需要同時具有r的權(quán)限可以進入目錄，使用cd等命令Linux系統(tǒng)安全文件和目錄權(quán)限文件和目錄權(quán)限模型的控制對象包括3種用戶，分別為文件的所有者、用戶組用戶和其他用戶。文件所有者：文件所有者默認就是創(chuàng)建該文件的用戶。文件屬組：屬于該用戶組中的所有用戶，文

35、件的屬組默認就是文件所有者所屬的用戶組其它用戶：除上述兩類用戶以外的系統(tǒng)中的所有用戶。文件系統(tǒng)安全Linux系統(tǒng)安全更改文件和目錄的所有者chown命令用于更改文件或者目錄的所有者和屬組，包括目錄下的各級子目錄和文件。命令格式如下：Chown 【option】owner:group file如果更改目錄及其中各級子目錄和文件的所有者和屬性Chown R root：users /test文件系統(tǒng)安全Linux系統(tǒng)安全更改文件和目錄的權(quán)限chmod命令用于更改文件或者目錄的訪問權(quán)限，包括目錄下的各級子目錄和文件。命令格式如下：Chmod 【option】 MODE【，mode】fileChmod命

36、令可以通過以下兩種方式來更改文件和目錄的訪問權(quán)限字符方式：使用u、g、o和a分別代表文件所有者、屬組、其它用戶和所有用戶數(shù)字方式：chmod nnn file文件系統(tǒng)安全Linux系統(tǒng)安全字符方式示例文件系統(tǒng)安全命令說明Chmod u+x file1為所有者添加file1文件的執(zhí)行權(quán)限Chmod g+w，o+w file1 file2為屬組和其它用戶添加文件file1和file2的更改權(quán)限Chmod a=rwx fiile1設(shè)置所有用戶對file1文件的權(quán)限為可讀、可修改和可執(zhí)行Chmod o-w file1取消其他用戶對file1文件的可修改權(quán)限Chmod o=1 file1取消其他用戶訪問

37、file1文件的所有權(quán)限Chmod R u+w dir1為目錄所有者添加對目錄dir1的添加、刪除文件權(quán)限Linux系統(tǒng)安全2. 數(shù)字方式示例文件系統(tǒng)安全權(quán)限數(shù)值r4w2x1Linux系統(tǒng)安全設(shè)置文件和目錄的默認權(quán)限對于每個新創(chuàng)建的文件和目錄，系統(tǒng)會為它們設(shè)置默認的訪問權(quán)限。通過使用umask命令可以更改文件或目錄的默認權(quán)限Umask 027在創(chuàng)建文件或目錄時，系統(tǒng)會先檢查當前設(shè)置的umask值，然后把默認權(quán)限的值與權(quán)限掩碼值相減，就得到新創(chuàng)建的文件或目錄的訪問權(quán)限。在Linux中，每個用戶都有自己的umask值，所以可以通過為不同安全級別的用戶設(shè)置不同的umask值，來靈活控制用戶的默認訪問

38、權(quán)限。一般常見的做法就是在.bash_profile配置文件中設(shè)置umask值用戶每次登錄系統(tǒng)，都必須先讀取.bash_profile配置文件的內(nèi)容并執(zhí)行，所以每次用戶登錄完成后，新的umask值都會立即生效。文件系統(tǒng)安全Linux系統(tǒng)安全日志文件系統(tǒng)已經(jīng)成為linux中不可缺失的一部分。對于日常服務(wù)器的運行狀態(tài)是否正常、遭受攻擊時如何查找被攻擊的痕跡、軟件啟動失敗是如何查找原因等情況，linux日志系統(tǒng)都提供了相應(yīng)的解決方案。日志系統(tǒng)可以記錄當前系統(tǒng)中發(fā)生的各種事件，比如登錄日志記錄每次登錄的來源和時間、系統(tǒng)每次啟動和關(guān)閉的情況、系統(tǒng)錯誤等。日志的主要用途：系統(tǒng)審計：記錄登錄系統(tǒng)的用戶和日常

39、行為監(jiān)測追蹤：系統(tǒng)遭受到攻擊時如何追蹤溯源到攻擊者分析統(tǒng)計：系統(tǒng)的性能、錯誤等統(tǒng)計日志分析Linux系統(tǒng)安全日志的分類日志分析日志分類日志功能Access-log記錄web服務(wù)的訪問日志，error-log是其錯誤日志Acct/pacct記錄用戶命令btmp記錄失敗記錄lastlog記錄最近幾次成功登錄的事件和最后一次不成功的登錄messages服務(wù)器的系統(tǒng)日志Sudolog記錄使用sudo發(fā)出的命令Utmp記錄當前登錄的每個用戶Wtmp一個用戶每次登錄進入和退出時間的永久記錄Secure記錄系統(tǒng)登錄行為，比如ssh的登錄記錄Linux系統(tǒng)安全日志文件管理日志文件中的信息可能比較煩，但有時特別

40、重要。比如，硬件故障，錯誤配置，網(wǎng)絡(luò)入侵等情況發(fā)生時，通過查看日志文件可以很輕松地定位問題所在。你必須經(jīng)常清空日志文件，去掉舊信息，以免磁盤占滿。正確管理日志文件，可使你需要日志文件時能夠訪問到。清空日志文件時另作備分可使你獲得更多審計信息。這些管理工作看起來很枯燥無味將討論的 logrotate、swatch、logcheck 可以幫助你。這些工具各自擅長某一方面，一起使用可為你的系統(tǒng)加一保護層。 日志分析Linux系統(tǒng)安全一般日志文件管理日志文件應(yīng)記錄盡可能多的信息。 “在中央服務(wù)器上記錄日志”一段描述了集中式日志的配置和安全需求。在安全、中心服務(wù)器上記錄日志可減輕管理工作，并減少非法入侵

41、的可能。 日志文件應(yīng)設(shè)置只允許 root 可讀的權(quán)限。如果日志記錄對任何人可見，其中與軟件包敏感的信息能幫助別人入侵系統(tǒng)。激活日志文件的腳本應(yīng)包括安全權(quán)限設(shè)置。 制定日志文件的覆寫計劃。日志文件保存時間應(yīng)保證使用時還存在，但不能占滿磁盤。只有通過不斷試驗、錯誤提示來決定對系統(tǒng)和當前活動最好的日志保存期。 最重要的一條，閱讀日志文件！通過日志文件排除不必要信息，定位重要信息。先實驗出錯情況，并記錄盡可能多的錯誤信息，再修改腳本文件，使之不再產(chǎn)生不必要信息。當你在日志文件中看到異常記錄時，檢查系統(tǒng)運行情況是必要的，但也需知道，不僅你預期的程序和工具能產(chǎn)生日志信息，logger 程序或用戶程序調(diào)用

42、syslog 也可能產(chǎn)生日志信息。日志分析Linux系統(tǒng)安全Logrotatelogrotate 可自動使日志文件循環(huán)，刪除其中保存時間最長的文件，并開始新文件。你可用時間調(diào)度工具 cron 激活 logrorate；也可為日志文件長度設(shè)置閥值，超過閥值時，系統(tǒng)自動激活 logrorate。logrotate 比較靈活，可設(shè)置保存舊文件的數(shù)目，在執(zhí)行旋轉(zhuǎn)(rotate)時，還可選擇日志文件是否壓縮或用郵件發(fā)送出去?？傊?，logrotate 能很好地處理物理文件管理Logrotate配置logrotate 包括以下部分：缺省值，0 或多個日志文件的配置參數(shù)，包含其他日志文件配置信息的可選項。 /etc/logrotate.conf日志分析Linux系統(tǒng)安全日志分析第3行weekly 指定所有的日志文件每周轉(zhuǎn)儲一次。第5行 rotate 4 指定轉(zhuǎn)儲文件的保留 4份。第7行 errors root 指定錯誤信息發(fā)送給root。第9行create 指定 logrota