如何修改Linux文件系統(tǒng)的權(quán)限及安全設(shè)置

　　如果文件系統(tǒng)的權(quán)限設(shè)置不合理，就會威脅系統(tǒng)的安全，所以當(dāng)運維人員遇到不能修改及刪除文件的情況，就要對文件的的權(quán)限進(jìn)行修改和設(shè)置了，下面小編就給大家介紹下Linux系統(tǒng)中如何修改及設(shè)置文件的權(quán)限。

　　一、鎖定系統(tǒng)重要文件

　　系統(tǒng)運維人員有時候可能會遇到通過root用戶都不能修改或者刪除某個文件的情況，產(chǎn)生這種情況的大部分原因可能是這個文件被鎖定了。在Linux下鎖定文件的命令是chattr，通過這個命令可以修改ext2、ext3、ext4文件系統(tǒng)下文件屬性，但是這個命令必須有超級用戶root來執(zhí)行。和這個命令對應(yīng)的命令是lsattr，這個命令用來查詢文件屬性。

　　通過chattr命令修改文件或者目錄的文件屬性能夠提高系統(tǒng)的安全性，下面簡單介紹下chattr和lsattr兩個命令的用法。

　　chattr命令的語法格式如下：

　　chattr ［-RV］ ［-v version］ ［mode］ 文件或目錄主要參數(shù)含義如下：

　　-R：遞歸修改所有的文件及子目錄。

　　-V：詳細(xì)顯示修改內(nèi)容，并打印輸出。

　　其中mode部分用來控制文件的屬性，常用參數(shù)如下表所示：

　　參數(shù)含義

　　+在原有參數(shù)設(shè)定基礎(chǔ)上，追加參數(shù)

　　-在原有參數(shù)設(shè)定基礎(chǔ)上，移除參數(shù)

　　=更新為指定參數(shù)

　　a即append，設(shè)定該參數(shù)后，只能向文件中添加數(shù)據(jù)，而不能刪除。常用于服務(wù)器日志文件安全，只有root用戶才能設(shè)置這個屬性c即compresse，設(shè)定文件是否經(jīng)壓縮后再存儲。讀取時需要經(jīng)過自動解壓操作i即immutable，設(shè)定文件不能被修改、刪除、重命名、設(shè)定鏈接等，同時不能寫入或新增內(nèi)容。這個參數(shù)對于文件系統(tǒng)的安全設(shè)置有很大幫助s安全的刪除文件或目錄，即文件被刪除后硬盤空間被全部收回u與s參數(shù)相反，當(dāng)設(shè)定為u時，系統(tǒng)會保留其數(shù)據(jù)塊以便以后能夠恢復(fù)刪除這個文件。這些參數(shù)中，最常用到的是a和i，a參數(shù)常用于服務(wù)器日志文件安全設(shè)定，而i參數(shù)更為嚴(yán)格，不允許對文件進(jìn)行任何操作，即使是root用戶lsattr用來查詢文件屬性，用法比較簡單，其語法格式如下：

　　lsattr ［-adlRvV］ 文件或目錄

　　常用參數(shù)如下表所示。

　　參數(shù)含義

　　-a列出目錄中的所有文件，包括以。開頭的文件-d顯示指定目錄的屬性

　　-R以遞歸的方式列出目錄下所有文件及子目錄以及屬性值-v顯示文件或目錄版本

　　在Linux系統(tǒng)中，如果一個用戶以root的權(quán)限登錄或者某個進(jìn)程以root的權(quán)限運行，那么它的使用權(quán)限就不再有任何的限制了。因此，攻擊者通過遠(yuǎn)程或者本地攻擊手段獲得了系統(tǒng)的root權(quán)限將是一個災(zāi)難。在這種情況下，文件系統(tǒng)將是保護(hù)系統(tǒng)安全的最后一道防線，合理的屬性設(shè)置可以最大限度地減小攻擊者對系統(tǒng)的破壞程度，通過chattr命令鎖定系統(tǒng)一些重要的文件或目錄，是保護(hù)文件系統(tǒng)安全最直接、最有效的手段。

　　對一些重要的目錄和文件可以加上“i”屬性，常見的文件和目錄有：

　　chattr -R +i /bin /boot /lib /sbin

　　chattr -R +i /usr/bin /usr/include /usr/lib /usr/sbinchattr +i /etc/passwd

　　chattr +i /etc/shadow

　　chattr +i /etc/hosts

　　chattr +i /etc/resolv.conf

　　chattr +i /etc/fstab

　　chattr +i /etc/sudoers

　　對一些重要的日志文件可以加上“a”屬性，常見的有：

　　chattr +a /var/log/messages

　　chattr +a /var/log/wtmp

　　對重要的文件進(jìn)行加鎖，雖然能夠提高服務(wù)器的安全性，但是也會帶來一些不便，例如，在軟件的安裝、升級時可能需要去掉有關(guān)目錄和文件的immutable屬性和append-only屬性，同時，對日志文件設(shè)置了append-only屬性，可能會使日志輪換（logrotate）無法進(jìn)行。因此，在使用chattr命令前，需要結(jié)合服務(wù)器的應(yīng)用環(huán)境來權(quán)衡是否需要設(shè)置immutable屬性和append-only屬性。

　　另外，雖然通過chattr命令修改文件屬性能夠提高文件系統(tǒng)的安全性，但是它并不適合所有的目錄。chattr命令不能保護(hù)/、/dev、/tmp、/var等目錄。

　　根目錄不能有不可修改屬性，因為如果根目錄具有不可修改屬性，那么系統(tǒng)根本無法工作：/dev在啟動時，syslog需要刪除并重新建立/dev/log套接字設(shè)備，如果設(shè)置了不可修改屬性，那么可能出問題；/tmp目錄會有很多應(yīng)用程序和系統(tǒng)程序需要在這個目錄下建立臨時文件，也不能設(shè)置不可修改屬性；/var是系統(tǒng)和程序的日志目錄，如果設(shè)置為不可修改屬性，那么系統(tǒng)寫日志將無法進(jìn)行，所以也不能通過chattr命令保護(hù)。

　　雖然通過chattr命令無法保護(hù)/dev、/tmp等目錄的安全性，但是有另外的方法可以實現(xiàn)，在面將做詳細(xì)介紹。

　　二、文件權(quán)限檢查和修改

　　不正確的權(quán)限設(shè)置直接威脅著系統(tǒng)的安全，因此運維人員應(yīng)該能及時發(fā)現(xiàn)這些不正確的權(quán)限設(shè)置，并立刻修正，防患于未然。下面列舉幾種查找系統(tǒng)不安全權(quán)限的方法。

　　（1）查找系統(tǒng)中任何用戶都有寫權(quán)限的文件或目錄查找文件：find / -type f -perm -2 -o -perm -20 |xargs ls -al查找目錄：find / -type d -perm -2 -o -perm -20 |xargs ls –ld（2）查找系統(tǒng)中所有含“s”位的程序

　　find / -type f -perm -4000 -o -perm -2000 -print | xargs ls –al含有“s”位權(quán)限的程序?qū)ο到y(tǒng)安全威脅很大，通過查找系統(tǒng)中所有具有“s”位權(quán)限的程序，可以把某些不必要的“s”位程序去掉，這樣可以防止用戶濫用權(quán)限或提升權(quán)限的可能性。

　�。�3）檢查系統(tǒng)中所有suid及sgid文件

　　find / -user root -perm -2000 -print -exec md5sum {} \;find / -user root -perm -4000 -print -exec md5sum {} \;

　　將檢查的結(jié)果保存到文件中，可在以后的系統(tǒng)檢查中作為參考。

　　（4）檢查系統(tǒng)中沒有屬主的文件

　　find / -nouser -o –nogroup

　　沒有屬主的孤兒文件比較危險，往往成為黑客利用的工具，因此找到這些文件后，要么刪除掉，要么修改文件的屬主，使其處于安全狀態(tài)。

　　三、/tmp、/var/tmp、/dev/shm安全設(shè)定

　　在Linux系統(tǒng)中，主要有兩個目錄或分區(qū)用來存放臨時文件，分別是/tmp和/var/tmp。存儲臨時文件的目錄或分區(qū)有個共同點就是所有用戶可讀寫、可執(zhí)行，這就為系統(tǒng)留下了安全隱患。攻擊者可以將病毒或者木馬腳本放到臨時文件的目錄下進(jìn)行信息收集或偽裝，嚴(yán)重影響服務(wù)器的安全，此時，如果修改臨時目錄的讀寫執(zhí)行權(quán)限，還有可能影響系統(tǒng)上應(yīng)用程序的正常運行，因此，如果要兼顧兩者，就需要對這兩個目錄或分區(qū)就行特殊的設(shè)置。

　　/dev/shm是Linux下的一個共享內(nèi)存設(shè)備，在Linux啟動的時候系統(tǒng)默認(rèn)會加載/dev/shm，被加載的/dev/shm使用的是tmpfs文件系統(tǒng)，而tmpfs是一個內(nèi)存文件系統(tǒng)，存儲到tmpfs文件系統(tǒng)的數(shù)據(jù)會完全駐留在RAM中，這樣通過/dev/shm就可以直接操控系統(tǒng)內(nèi)存，這將非常危險，因此如何保證/dev/shm安全也至關(guān)重要。

　　對于/tmp的安全設(shè)置，需要看/tmp是一個獨立磁盤分區(qū)，還是一個根分區(qū)下的文件夾，如果/tmp是一個獨立的磁盤分區(qū)，那么設(shè)置非常簡單，修改/etc/fstab文件中/tmp分區(qū)對應(yīng)的掛載屬性，加上nosuid、noexec、nodev三個選項即可，修改后的/tmp分區(qū)掛載屬性類似如下：

　　LABEL=/tmp /tmp ext3 rw，nosuid，noexec，nodev 0 0其中，nosuid、noexec、nodev選項，表示不允許任何suid程序，并且在這個分區(qū)不能執(zhí)行任何腳本等程序，并且不存在設(shè)備文件。

　　在掛載屬性設(shè)置完成后，重新掛載/tmp分區(qū)，保證設(shè)置生效。

　　對于/var/tmp，如果是獨立分區(qū)，安裝/tmp的設(shè)置方法是修改/etc/fstab文件即可；如果是/var分區(qū)下的一個目錄，那么可以將/var/tmp目錄下所有數(shù)據(jù)移動到/tmp分區(qū)下，然后在/var下做一個指向/tmp的軟連接即可。也就是執(zhí)行如下操作：

　�。踨oot@server ~］# mv /var/tmp/* /tmp

　�。踨oot@server ~］# ln -s /tmp /var/tmp

　　如果/tmp是根目錄下的一個目錄，那么設(shè)置稍微復(fù)雜，可以通過創(chuàng)建一個loopback文件系統(tǒng)來利用Linux內(nèi)核的loopback特性將文件系統(tǒng)掛載到/tmp下，然后在掛載時指定限制加載選項即可。一個簡單的操作示例如下：

　�。踨oot@server ~］# dd if=/dev/zero of=/dev/tmpfs bs=1M count=10000［root@server ~］# mke2fs -j /dev/tmpfs

　�。踨oot@server ~］# cp -av /tmp /tmp.old

　　［root@server ~］# mount -o loop，noexec，nosuid，rw /dev/tmpfs /tmp［root@server ~］# chmod 1777 /tmp

　　［root@server ~］# mv -f /tmp.old/* /tmp/

　�。踨oot@server ~］# rm -rf /tmp.old

　　最后，編輯/etc/fstab，添加如下內(nèi)容，以便系統(tǒng)在啟動時自動加載loopback文件系統(tǒng)：

　　/dev/tmpfs /tmp ext3 loop，nosuid，noexec，rw 0 0

　　為了驗證一下掛載時指定限制加載選項是否生效，可以在/tmp分區(qū)創(chuàng)建一個shell文件，操作如下：

　�。踨oot@tc193 tmp］# ls -al|grep shell

　　-rwxr-xr-x 1 root root 22 Oct 6 14:58 shell-test.sh［root@server ~］# pwd

　　/tmp

　�。踨oot@tc193 tmp］# 。/shell-test.sh

　　-bash： 。/shell-test.sh： Permission denied可以看出，雖然文件有可執(zhí)行屬性，但是已經(jīng)在/tmp分區(qū)無法執(zhí)行任何文件了。

　　最后，再來修改一下/dev/shm的安全設(shè)置。由于/dev/shm是一個共享內(nèi)存設(shè)備，因此也可以通過修改/etc/fstab文件設(shè)置而實現(xiàn)，在默認(rèn)情況下，/dev/shm通過defaults選項來加載，對保證其安全性是不夠的，修改/dev/shm的掛載屬性，操作如下：

　　tmpfs /dev/shm tmpfs defaults，nosuid，noexec，rw 0 0

　　通過這種方式，就限制了任何suid程序，同時也限制了/dev/shm的可執(zhí)行權(quán)限，系統(tǒng)安全性得到進(jìn)一步提升。

　　上面就是Linux下文件系統(tǒng)權(quán)限修改和設(shè)置的相關(guān)介紹了，為了系統(tǒng)的安全著想，可使用命令鎖定重要的文件，合理的文件權(quán)限設(shè)置也是很重要的。