返回
虚拟主机问题之Linux系统中内部和外部安全性概述

虚拟主机问题之Linux系统中内部和外部安全性概述

ID:42422874

大小:36.50 KB

页数:4页

时间:2019-09-14

虚拟主机问题之Linux系统中内部和外部安全性概述_第1页
虚拟主机问题之Linux系统中内部和外部安全性概述_第2页
虚拟主机问题之Linux系统中内部和外部安全性概述_第3页
虚拟主机问题之Linux系统中内部和外部安全性概述_第4页
资源描述:

《虚拟主机问题之Linux系统中内部和外部安全性概述》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、虚拟主机问题之Linux系统中内部和外部安全性概述  维护一个完全安全的系统是不可能的。然而,只要勤奋,则有可能使Linux机器足够安全,并让大多数偶尔出现的骇客、脚本小子(script-kiddies)及其他的“坏家伙”止步而去骚扰其他人。请记住:仅仅遵循本教程不会产生一个安全的系统。相反,我们希望你接触到主要主题的多个方面,并向你提供一些有关怎么入门的有用示例。  Linux系统安全性可分为两个部分:内部安全性和外部安全性。内部安全性指预防用户无意或恶意地破坏系统。外部安全性指防止未授权用户获得对系

2、统的访问。  本章将首先介绍内部安全性,然后介绍外部安全性,最后介绍一些常规指导原则和技巧。  日志文件的文件权限  内部安全性能是非常大的任务,这要看你对用户的信任程度。这里介绍的指导原则是设计用来防止偶然用户访问敏感信息和防止不公平地使用系统资源。  至于文件权限,你可能希望修改以下三种情况的权限:  首先,/var/log中的日志文件不必是所有人都能读取的。没有理由让非root用户窥视日志。为了创建具有适当权限的日志。  root用户其他文件的文件权限  其次,root用户的点文件对于普通用户应是

3、不可读的。检查root用户主目录中的文件(ls-la)以确保他们受到适当的保护。甚至能使整个目录仅对root用户可读:    #cd    #pwd    /root    #chmod700.  用户文件的文件权限  最后,用户文件在缺省情况下通常被创建为所有人可读。那可能不是用户所期望的,而且他当然不是最佳的策略。应该使用和下面类似的命令在/etc/profile中设置缺省的umask:    if["$UID"=0];then    #rootuser;setworld-readablebydef

4、aultsothat    #installedfilescanbereadbynormalusers.    umask022    else    #makeuserfilessecureunlesstheyexplicitlyopenthem    #forreadingbyotherusers    umask077    fi  应该查询umask(2)和bash(1)手册页以获取有关设置umask的更多信息。请注意:umask(2)手册页涉及C函数,但他所包含的信息也适用于bash命令。  

5、查找SUID/SGID程式  寻求root访问权的恶意用户总是会在系统上寻找设置了SUID或SGID位的程式。就象我们在LPI101系列第3部分中讨论的那样,这些位使程式始终作为拥有该文件的用户或组运行。有时这是程式正确运行所必需的。问题是所有程式都可能包含允许用户在不正确地使用程式时获得特权的错误。  应该仔细考虑每个程式以确定是否需要将其SUID或SGID位打开。系统上有些SUID/SGID程式可能是根本不必的。  要搜索具有这样性质的程式,可使用find命令。例如,能在/usr目录中启动对SUID

6、/SGID程式的搜索:    #cd/usr    #find.-typef-perm+6000-xdev-execls{}\;    -rwsr-sr-x1rootroot59397211-0912:47./bin/gpg    -r-xr-sr-x1rootman3846001-2722:13./bin/man    -rwsr-xr-x1rootroot1557609-2922:51./bin/rcp    -rwsr-xr-x1rootroot825609-2922:51./bin/rsh   

7、 -rwsr-xr-x1rootroot2952001-1719:42./bin/chfn    -rwsr-xr-x1rootroot2750001-1719:42./bin/chsh    -rwsr-xr-x1lproot881201-1523:21./bin/lppasswd    -rwsr-x—1rootcron1047601-1522:16./bin/crontab  在这个清单中,我已发现了需要更仔细检查的侯选对象:lppasswd是CUPS打印软件分发版的一部分。因为没有在系统上提供打

8、印服务,所以我会考虑除去CUPS,那也会除去lppasswd程式。lppasswd中可能没有危及安全性的错误,但为什么要在不使用的程式上冒险呢?同样地,应该关闭所有不使用的服务。你总是能在需要时再启用他们。  用ulimit设置用户限制  bash中的ulimit命令提供了限制特定用户的资源使用情况的方法。一旦限制降低,则在进程的生命期内无法提高该限制。此外,该限制会被所有子进程继承。结果是:能在/etc/profile中调用ulimit,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。