谈谈数学对运维工作的重要性
前言:在我看来运维工作即维护或完成上级及其用户需求。即:安全保险、及时灭火器。
那么问题来了,如果用户的需求很变态。应如何下手,还是就和上级说无法完成?
需求:某企业安装好了LAMP环境。要求搭建FTP使得用户可以上传文件,并且使得匿名用户的目录无法删除
一、分析问题
这样的需求出来我们要怎么样才能完成。
现有知识架构可以完成吗?
使用配置文件可以解决吗?
使用命令的安全设置可以解决吗?
使用iptables、SELinux可以解决吗?
二、整理思路
确定能解决,以现有等级。
1、 设置美国国防部开发的SELinux
2、使用相关安全设置命令
3、修改相关配置文件
可能用到的目录以及命令
PATH:vsftpd:/etc/vsftpd/vsftpd.conf
COMMAND:chown: /bin/chown
COMMAND:chmod: /bin/chmod
COMMAND:chattr: /usr/bin/chattr
COMMAND:setfacl: /usr/bin/setfacl
SELinux:chcon: /usr/bin/chcon
SELinux:setenforce: /usr/sbin/setenforce
三、方法实施
由下之上,最易到最难。最小影响原则
1、命令安全
这样,我们就完成了Linux目录下的权限安全设置。
“admin”用户可以自由进出 /srv/ftp/
“admin”用户可以向 /srv/ftp/pub/share/ 进行任意读写操作
“anonymous”用户如果指向/srv/ftp/pub/目录会操作"admin“用户对该文件夹读写操作。
”anonumous“用户如果指向/srv/ftp/pub/share/目录会因为目录是root权限而无法写入,
"admin"用户因为setfacl设置可对/srv/ftp/pub/share/目录有增删改查权限,却无法删除root权限的/srv/ftp/pub/
2、配置文件
将"local_root"指向/srv/ftp/目录
将"anon_root"指向/srv/ftp/pub/share目录
3、其他
既然追求安全,那么应该开启用户的chroot(监牢)模式。防止恶意破坏或权限越狱。