linux权限加固,Linux下的文件权限加固简介

最新推荐文章于 2022-12-16 19:17:13 发布
最新推荐文章于 2022-12-16 19:17:13 发布
阅读量460 收藏 1
点赞数
文章标签: linux权限加固

Linux 系统中常常会因为设置了不正确的文件或目录权限导致出现系统安全问题。因此在日常的系统维护中,应该能做到及时发现不正确的文件权限设置并能及时修正,防患于未然,这里介绍几种用安全加固的方法:

1. 查找系统中任何用户都拥有写入权限的文件或者目录,并保存在文件中用于检查。find  /  - type f  –perm  -2  -o –perm -20 > wmodfiles.txt

find  /  - type d  –perm  -2  -o –perm -20 > wmoddir.txt

2. 查找系统中没有属主的文件find /  -nouser –o –nogroup > orphan.txt

这种无属主的文件对于系统的安全也能造成一定的威胁,有时候也会成为入侵者的工具,建议发现之后,要么修改其属主信息,要么删除,?免后患。

3. 查找系统中设置了 S 位的程序find /  -type f  -perm -4000 –o –perm -2000 > smod.txt

含有 S 位权限的程序对系统的威胁很大,可以把某些没必要使用 S 位权限的应用程序去掉,以防用户权限的滥用。

4.利用 chatter 命令来锁定系统的重要文件。指令使用格式:chatter [-RV] [-v version] [mode] files…

主要参数说明:-R:递归的修改一个目录下的所有文件以及相应的子目录。

-V:显示修改内容,并在屏幕上打印输出。

Mode:部分是用来设置或修改文件属性的,一般常用的参数是:

+:在原属性上追加属性。

-:在原属性上移除属性。

a:  在设定该参数后只能向文件中添加数据而不能删除文件,常用于服务器的系统日志安全(只有root用户才能设定该属性)。

i:在设定该参数后该文件不能被写入数据或者被修改,删除,重命名,设定连接等。

在基本了解该命令的用法后,可以对系统中的常见文件设定安全属性了,示例:

ae6dd12b40fa2b18234b3235977ac1ab.png

另外,用户也可以对常见目录,例如/bin、/boot、/lib等目录加上 i 属性,对系统常用的日志文件例如 /var/log/messages 和 /var/log/wtmp 也可以加上 a 属性。

虽然通过对重要文件进行加锁的方式能让服务器的安全性提高,但是在运维管理上也会出现一些不方便,例如修改密码时因为/etc/shadow 文件有i 属性,会导致密码修改失败。同时对日志文件加入a 属性,可能会使得日志轮换功能logrotate 的失败?另外,在软件的安装和升级时可能需要去掉有关目录和文件的 i 属性和 a 属性。

所以,建议用户使用 chattr 命令锁定系统文件时,必须要结合服务器的应用环境来决定是否应用 a 属性和 i 属性。

东方捕
关注
LINUX修改文件权限
05-01
LINUX操作系统如何修改文件权限,很好的哦
加固linux权限
weixin_33890499的博客
04-06 158
加固Linux 主机权限chmod -R 751 backup*chmod 640 passwdchmod 640 crontab可以适当把一些系统文件 apache用不到可以取消读权限另,检查一下php.ini,有没有限制系统级函数disable_functions=passthru,exec,shell_exec,system,popen 转载于:https:...
Linux主机加固丨如何优雅的控制系统权限
Anprou的博客
09-18 907
主机加固,找悬镜安全。
如何在linux加固目录文件,Linux服务器加固的基本步骤详解
weixin_31592801的博客
04-30 285
在输入密码之前,按下 回车使用 /home/your_username/.ssh 中的默认名称 id_rsa 和 id_rsa.pub。本文引用地址:http://www.eepw.com.cn/article/201809/389050.htmWindows这可以使用 PuTTY 完成,在我们指南中已有描述:使用 SSH 公钥验证。2、将公钥上传到您的服务器上。 将 example_user 替...
RH413企业安全加固 第7章 管理附加文件权限
安全参透之旅
01-18 501
第7章管理附加文件权限(注意:红字)   1、umask 1) 登录用户su 用来配置环境变量,用户的权限。 2) 非登录用户su 用来执行脚本的。   Umask文件是用来指定默认的权限是什么,和你默认用户创建的权限是什么。   3) /etc/profile是系统的全局变量文件 if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`
linux安全加固方案.pdf
最新发布
03-15
### Linux安全加固方案详解 #### 一、严格按照用户类型分配账号 在Linux系统中,合理的用户管理至关重要。根据用户的工作性质、职责范围等条件来分配不同的用户类型,并确保每个用户只具备完成其工作所需的最低权限...
Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统
03-14
根据给定的信息,本文将详细解释Linux操作系统的加固方法,主要涵盖账号与口令管理、服务安全、文件系统以及日志管理四大方面。 ### 一、账号和口令 #### 1.1 禁用或删除无用账号 为了减少系统中的无用账号,降低...
linux 服务器加固
06-11
最小的权限+最小的服务=最大的安全;操作之前先备份;为避免配置错误无法登录主机,请始终保持有一个终端已用root登录并不退出,在另一个终端中做配置修改。这样即使改错,也不至于因系统无法登录导致永远无法登录或...
linux系统漏洞加固
04-18
一. 账号口令 1.1 检查设备密码复杂度策略(高危) 1.2 检查口令最小长度(高危) 1.3 检查是否设置口令更改最小间隔天数(高危) 1.4 检查是否设置口令生存周期(高危) 1.5 检查是否设置口令过期前警告天数(高危) 1.6 检查是否存在空口令账号(高危) 1.7 检查是否设置除root之外UID为0的用户(中危) 二. 认证授权 2.1 检查用户目录缺省访问权限设置(高危) 2.2 检查用户umask设置(中危) 2.3 检查重要文件属性设置(中危) 2.4 检查重要目录或文件权限设置(中危) 2.5 检查是否设置ssh登录前警告Banner(低危) 三. 日志审计 3.1 检查是否对登录进行日志记录(高危) 3.2 检查是否启用cron行为日志功能(低危) 3.3 检查是否配置su命令使用情况记录(低危) 3.4 检查日志文件是否非全局可写(低危) 3.5 检查安全事件日志配置(低危) 3.6 检查是否记录用户对设备的操作(低危) 3.7 检查是否配置远程日志功能(低危) 四. 协议安全 4.1 检查是否禁止root用户远程登录(高危) 4.2 检查是否禁止匿名用户登录FTP(高危) 4.3 检查使用IP协议远程维护的设备是否配置SSH协议,禁用telnet协议(高危) 4.4 检查是否修改snmp默认团体字(中危) 4.5 检查系统openssh安全配置(中危) 4.6 检查是否禁止root用户登录FTP(中危) 五. 其他安全 5.1 检查是否使用PAM认证模块禁止wheel组之外的用户su为root(高危) 5.2 检查是否设置命令行界面超时退出(高危) 5.3 检查是否关闭不必要的服务和端口(高危) 5.4 检查是否关闭系统信任机制(高危) 5.5 检查是否删除了潜在危险文件(高危) 5.6 检查系统core dump设置(中危) 5.7 检查root用户的path环境变量(中危) 5.8 检查系统是否禁用ctrl+alt+del组合键(中危) 5.9 检查密码重复使用次数限制(中危) 5.10 检查是否配置用户所需最小权限(中危) 5.11 检查系统内核参数配置(中危) 5.12 检查FTP用户上传的文件所具有的权限(低危) 5.13 检查/usr/bin/目录下可执行文件的拥有者属性(低危) 5.14 检查是否按用户分配账号(低危) 5.15 检查历史命令设置(低危) 5.16 检查系统磁盘分区使用率(低危) 5.17 检查日志文件权限设置(低危) 5.18 检查是否设置系统引导管理器密码(低危) 5.19 检查是否限制FTP用户登录后能访问的目录(低危) 5.20 检查是否设置ssh成功登录后Banner(低危) 5.21 检查是否使用NTP(网络时间协议)保持时间同步(低危) 5.22 检查是否关闭IP伪装和绑定多IP功能(低危) 5.23 检查是否限制远程登录IP范围(低危) 5.24 检查NFS(网络文件系统)服务配置(低危) 5.25 检查拥有suid和sgid权限的文件(低危) 5.26 检查是否配置定时自动屏幕锁定(适用于具备图形界面的设备)(低危) 5.27 检查是否安装chkrootkit进行系统监测(低危) 5.28 检查是否对系统账号进行登录限制(低危) 5.29 检查是否禁用不必要的系统服务(低危) 5.30 检查别名文件/etc/aliase(或/etc/mail/aliases)配置(低危) 5.31 检查账户认证失败次数限制(低危) 5.32 检查telnet Banner 设置(低危) 5.33 检查FTP Banner设置(低危) 5.34 检查是否关闭数据包转发功能(适用于不做路由功能的系统)(低危) 5.35 检查是否安装OS补丁(低危) 5.36 检查是否按组进行账号管理(低危) 5.37 检查是否删除与设备运行、维护等工作无关的账号(低危)
linux安全文件权限,Linux下安全文件权限设置(转)
weixin_36225637的博客
05-02 251
Linux文件权限linux能有如此安全性能的最大的保障之一,有朋友可能会知道,很多攻击windows的方法都是通过漏洞获取到创建用户的权限从而达到控制计算机的目的,在linux下,Root帐户有最大的权限,可以干任何事情,其他用户只能拥有自己的文件的所有权限和该改组成员赋予的文件的权限,下面开始对文件权限的一个说明。读权限R。简单的说就是打开文件查看内容的权限,在web服务器中,若文件没有打...
windows加固-文件权限
cainiao17441898的博客
11-29 588
文件权限 隐藏重要文件 原因: 为了保护电脑中的隐私或者重要文件,会把文件隐藏起来,防止他人查看,但是只要在计算机中设置显示隐藏文件,他人仍可以可以查看,修改注册表,即使用户设置了显示隐藏文件也无法看到被隐藏的文件。 配置: 单击开始菜单,打开运行,输入"regedit" ,依次展开: “HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”,到"Checke
linux安全加固_浅谈linux系统的安全加固
weixin_39574065的博客
12-04 229
1.删除所有特殊帐号:userdel PL 等等 删除用户groupdel PL 等等 删除用户组2.加密口令,使用"/usr/sbin/authconfig"工具,分别使用pwconv和grpconv打开密码的shadow功能.3.禁止任何用户访问重要文件,进入命令行界面在提示符下输入:#chmod 600 /etc/inetd.conf //改变文件属性为600#cha...
Linux操作系统的安全合规性检查和加固
m0_68431045的博客
12-16 654
通过上述步骤,可以在 /var/log/history 目录下以每个用户为名新建一个文件夹,每次用户退出后都会产生以用户名、登录IP、时间的日志文件,包含此用户本次的所有操作(root用户除外)。:部分系统可能使用syslog-ng日志,配置文件为:/etc/syslog-ng/syslog-ng.conf。表示将此用户的密码最长使用天数设为30,最短使用天数设为0,密码2000年1月1日过期,过期前七天警告用户。, 即新创建的文件属主拥有读写执行权限,同组用户拥有读和执行权限,其他用户无权限
Linux操作系统安全加固指导
乐大厨串串香飘万里
10-24 4358
linux加固指南(超详细版)
Linux安全加固手册
weixin_34054931的博客
12-06 1852
1 身份鉴别 1.1 密码安全策略 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。 设置有效的密码策略,防止攻击者破解出密码 1)查看空口令帐号并为弱/空口令帐号设置强密码 # awk -F: '($2 == ""){print $1}' /etc/shadow 可用离线破解、暴力字典破解或者密码网站...
linux文件权限之-i(不可修改权限),a(只可追加权限)
weixin_34080951的博客
04-07 6332
之前介绍了让普通用户有root权限的setuid权限,以及除了自己之外别人都无法删除的粘着位t权限。除了这两种之外,linux文件系统还有两种很实用的权限i和a i:不可修改权限 例:chattr u+i filename 则filename文件就不可修改,无论任何人,如果需要修改需要先删除i权限,用chattr -i filename就可以了。查看文件...
Linux常见的几种加固方法
YidaHu的博客
01-07 5643
1,shadow文件的存取权限漏洞 有rw权限不合规 cd /etc ls -l shadow chmod 400 shadow 2,group文件的存取权限漏洞 有rw权限不合规 ls -l /etc/group chmod 644 3,普通密码强度漏洞 vi /etc/login.defs 4,查看是否存在出root
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值