Autoconf教程關于安裝和拆卸文件系統說明
本文Autoconf教程關于安裝和拆卸文件系統說明,從系統管理員的角度討論安全問題.系統管理員是管理系統的人:啟動系統,停止系統運行,安裝新軟件,增加新用戶,刪除老用戶,以及完成保持系統發展和運行的日常事務工作.
Autoconf教程安裝和拆卸文件系統
UNIX文件系統是可安裝的,這意味著每個文件系統可以連接到整個目錄樹的任意節點上(根目錄總是被安裝上的).安裝文件系統的目錄稱為安裝點./etc/mount命令用于安裝文件系統,用這條命令可將文件系統安裝在現有目錄結構的任意處.
安裝文件系統時,安裝點的文件和目錄都是不可存取的,因此未安裝文件系統時,不要將文件存入安裝點目錄.文件系統安裝后,安裝點的存取許可方式和所有者將改變為所安裝的文件根目錄的許可方式和所有者.安裝文件系統時要小心:安裝點的屬性會改變!還要注意新建的文件,除非新文件系統是由標準文件建立的,系統標準文件會設置適當的存取許可方式,
否則新文件系統的存取許可將是777!可用-r選項將文件系統安裝成只讀文件系統.需要寫保護的帶驅動器和磁盤應當以這種方式來安裝.不帶任何參數的/etc/mount可獲得系統中所安裝的文件系統的有關信息.包括:文件系統被安裝的安裝點目錄,對應/dev中的哪個設備,只讀或可讀寫,安裝時間和日期等.
從安全的觀點來講,可安裝系統的危險來自用戶可能請求系統管理員為其安裝用戶自己的文件系統.如果安裝了用戶的文件系統,則應在允許用戶存取文件系統前,先掃描用戶的文件系統,搜索SUID/SGID程序和設備文件.在除了root外任何人不能執行的目錄中安裝文件系統,用find命令或secure列出可疑文件,刪除不屬用戶所有的文件的SUID/SGID許可.用戶的文件系統用完后,可用umount命令卸下文件系統.并將安裝點目錄的所有者改回root,存取許可改為755.
Autoconf教程系統目錄和文件
UNIX系統中有許多文件不允許用戶寫,如:/bin,/usr/bin,/usr/lbin,/etc/passwd,/usr/lib/crontab,/unix,/etc/rc,/etc/inittab這樣一些文件和目錄(大多數的系統目錄),可寫的目錄允許移動文件,會引起安全問題.系統管理員應經常檢查系統文件和目錄的許可權限和所有者.可做一個程序根據系統提供的規則文件(在/etc/permlist文件中)所描述的文件所有者和許可權規則檢查各文件.(源程序清單將在今后發表)
注意:如果系統的安全管理不好,或系統是新安裝的,其安全程序不夠高,可以用make方式在安全強的系統上運行上述程序,將許可規則文件拷貝到新系統來,再以設置方式在新系統上運行上述程序,就可提高本系統的安全程序.但要記住,兩個系統必須運行相同的UNIX系統版本.
【編輯推薦】
