Linux系統安全優化之系統引導和登錄安全優化文件系統層次的安全優化

1. 合理規劃系統分區

建議劃分為獨立分區的目錄

/boot :大小建議在200M以上。

/home :該目錄是用戶默認宿主目錄所在的上一級文件夾，若服務器用戶數量較多，通常無法預知每個用戶所使用的磁盤空間大小

/var : 該目錄用于保存系統日志、運行狀態、用戶郵箱目錄等，文件讀寫頻繁。占用空間可能會較多

/opt : 用于安裝服務器的附加應用程序及其他可選工具，方便擴展使用

2. 通過掛載選項禁止執行set位程序、二進制程序

使/var分區中程序文件的執行(x)權限失效，禁止直接執行該分區中二進制程序

# vi /etc/fstab

/dev/sdc1 /var ext3 defaults,noexec 1 2

# mount -o remount /var

如果想要從文件系統層面禁止文件的suid 或 sgid位權限，將上邊的noexec改為nosuid即可

3. 鎖定不希望更改的系統文件

使用 +i 屬性鎖定service 、passwd、grub.conf 文件(將不能正常添加系統用戶)

# chattr +i /etc/service /etc/passd /boot/grub.conf

解除/etc/passwd文件的 +i 鎖定屬性

# lsattr /etc/passwd //查看文件的屬性狀態

# chattr -i /etc/passwd

Linux系統安全優化之應用程序和服務

1. 關閉不必要的系統服務

2. 禁止普通用戶執行init.d目錄中的腳本

# chmod -R o-rwx /etc/init.d

或

# chmod -R 750 /etc/init.d

3. 禁止普通用戶執行控制臺程序

/etc/security/console.apps/目錄下每一文件對應一個系統程序，如果不希望普通用戶調用這些控制臺程序，可以將對應的配置文件移除

# cd /etc/security/console.apps/

# tar jcpvf /etc/conhlp.pw.tar.bz2 poweroff halt reboot - - remove

4. 去除程序文件中非必需的set-uid 或 set-gid 附加權限

查找系統中設置了set-uid或set-gid權限的文件，并結合 –exec 選項顯示這些文件的詳細權限屬性

# find / -type f perm +6000 -exec ls -lh { } \ ;

去掉程序文件的suid/sgid位權限

# chmod a-s /tmp/back.vim

編寫shell腳本，檢查系統中新增加的帶有suid或者sgid位權限的程序文件

(1) 在系統處于干凈狀態時，建立合法suid/sgid文件的列表，作為是否有新增可疑suid文件的比較依據

# find / -type f -prem +6000 > /etc/sfilelist

# chmod 600 /etc/sfilelist

(2) 建立chksfile腳本文件，與sfilelist比較，輸出新增的帶suid/sgid屬性的文件

# vi /usr/sbin/chksfile

#!/bin/bash

OLD_LIST=/etc/sfilelist

for i in ` find / -type -prem +6000 `

do

grep -F “$i” $OLD_LIST > /dev/null

[ $? -ne 0 ] && ls -lh $i

done

# chmod 700 /usr/bin/chkfile

(3) 執行chkfile腳本，檢查是否有新增suid/sgid文件

# cp /bin/touch /bin/mytouch //建立測試用程序文件

# chmod 4755 /bin/mytouch

# chksfile //執行程序腳本，輸出檢查結果

Linux系統安全優化中系統引導和登錄安全優化文件系統層次的安全優化的配置就向大家介紹完了，希望大家已經掌握。

【編輯推薦】

1. Linux(RHEL5)系統安全常規優化（1）
2. Linux(RHEL5)系統安全常規優化（2）
3. Linux(RHEL5)系統安全常規優化（3）
4. Linux(RHEL5)系統安全常規優化（5）