Linux安全应用指导培训资料

1、Linux安全应用指导内部公开 TIME yyyy-M-d 2022-9-d华为保密信息,未经授权禁止扩散第页华为技术术有限公公司内部部技术指指导DKBAA 83328-20115.111Linuux安全全应用指指导华为技术术有限公公司Huawwei Tecchnoologgiess Coo., Ltdd.版权所有有 侵侵权必究究All rigghtss reeserrvedd修订声明明Revvisiion decclarratiion本指导拟拟制与解解释部门门：网络安全全能力中中心本指导的的相关系系列规范范或文件件：相关国际际规范或或文件一一致性：替代或作作废的其其它规范范或文件件：无相关规

2、范范或文件件的相互互关系： 无目录TOC o 1-3 h z u HYPERLINK l _Toc435780387 简介 PAGEREF _Toc435780387 h 6 HYPERLINK l _Toc435780388 使用对象象 PAGEREF _Toc435780388 h 6 HYPERLINK l _Toc435780389 适用范围围 PAGEREF _Toc435780389 h 6 HYPERLINK l _Toc435780390 指导解释释 PAGEREF _Toc435780390 h 6 HYPERLINK l _Toc435780391 用词约定定 PAGERE

3、F _Toc435780391 h 6 HYPERLINK l _Toc435780392 术语解释释 PAGEREF _Toc435780392 h 7 HYPERLINK l _Toc435780393 1权限管管理 PAGEREF _Toc435780393 h 8 HYPERLINK l _Toc435780394 1.1权权限最小小化 PAGEREF _Toc435780394 h 8 HYPERLINK l _Toc435780395 1.1.1 禁止直直接使用用rooot账号号登录LLinuux系统统 PAGEREF _Toc435780395 h 8 HYPERLINK l _

4、Toc435780396 1.1.2 除有明明确特权权需求，应应用程序序应以非非rooot账号号运行 PAGEREF _Toc435780396 h 99 HYPERLINK l _Toc435780397 1.1.3 采用不不同权限限的帐号号运行不不同的应应用并对对帐号进进行权限限分离 PAGEREF _Toc435780397 h 99 HYPERLINK l _Toc435780398 1.1.4 在运行行时有特特权需求求的程序序，在特特权操作作完后如如后续无无特权需需求，必必须使用用settuidd放弃特特权 PAGEREF _Toc435780398 h 100 HYPERLINK

5、l _Toc435780399 1.1.5 使用suudo机机制代替替以rooot帐帐号登录录运行特特权程序序的方式式。 PAGEREF _Toc435780399 h 111 HYPERLINK l _Toc435780400 1.1.6 应对允允许使用用su到rooot帐号号的用户户进行明明确授权权，非授授权用户户不能切切换到rroott PAGEREF _Toc435780400 h 11 HYPERLINK l _Toc435780401 1.1.7 使用POOSIXX Caapabbiliitiees功能能避免直直接使用用rooot权限限 PAGEREF _Toc435780401

6、h 12 HYPERLINK l _Toc435780402 1.2文文件和目目录权限限 PAGEREF _Toc435780402 h 14 HYPERLINK l _Toc435780403 1.2.1系统统中禁止止有无主主文件存存在 PAGEREF _Toc435780403 h 144 HYPERLINK l _Toc435780404 1.2.2 除有明明确需求求，应删删除文件件不必要要的seetuiid和settgidd位 PAGEREF _Toc435780404 h 14 HYPERLINK l _Toc435780405 1.2.3应为为系统用用户设置置缺省的的umaask值

7、值 PAGEREF _Toc435780405 h 15 HYPERLINK l _Toc435780406 1.2.4 使用特特殊属性性位Sttickky位对对共享目目录权限限进行控控制 PAGEREF _Toc435780406 h 166 HYPERLINK l _Toc435780407 1.2.5 利用特特殊文件件属性AAppeend-onlly位保保护系统统命令行行历史日日志文件件，防止止内容被被篡改 PAGEREF _Toc435780407 h 116 HYPERLINK l _Toc435780408 2访问控控制 PAGEREF _Toc435780408 h 188 HY

8、PERLINK l _Toc435780409 2.1自自主访问问控制 PAGEREF _Toc435780409 h 118 HYPERLINK l _Toc435780410 2.1.1 使用POOSIXX ACCL进行行更细粒粒度的访访问控制制 PAGEREF _Toc435780410 h 18 HYPERLINK l _Toc435780411 2.2强强制访问问控制 PAGEREF _Toc435780411 h 220 HYPERLINK l _Toc435780412 2.2.1 Linnux系系统上应应安装强强制访问问控制系系统作为为应急的的安全访访问控制制手段 PAGERE

9、F _Toc435780412 h 220 HYPERLINK l _Toc435780413 3记录和和审计 PAGEREF _Toc435780413 h 222 HYPERLINK l _Toc435780415 3.1监监测、记记录和审审计 PAGEREF _Toc435780415 h 222 HYPERLINK l _Toc435780416 3.1.1启用用inootiffy监控控机制，以以文件系系统事件件进行安安全监控控 PAGEREF _Toc435780416 h 22 HYPERLINK l _Toc435780417 3.1.2使用用Audditdd组件对对系统中中的重

10、要要目录或或文件进进行审计计 PAGEREF _Toc435780417 h 24 HYPERLINK l _Toc435780418 4认证 PAGEREF _Toc435780418 h 226 HYPERLINK l _Toc435780419 4.1口口令和账账号 PAGEREF _Toc435780419 h 266 HYPERLINK l _Toc435780420 4.1.1 使用shhadoow套件件对系统统账号口口令进行行分离保保护 PAGEREF _Toc435780420 h 266 HYPERLINK l _Toc435780421 4.1.2Liinuxx系统必必须使

11、用用shaadoww套件对对当前暂暂时不使使用的账账号进行行锁定或或登录限限制 PAGEREF _Toc435780421 h 277 HYPERLINK l _Toc435780422 4.1.3使用用shaadoww套件对对系统口口令的时时效进行行限制 PAGEREF _Toc435780422 h 229 HYPERLINK l _Toc435780423 4.2可可插拔认认证模块块（PAAM） PAGEREF _Toc435780423 h 29 HYPERLINK l _Toc435780424 4.2.1使用用PAMM模块增增强认证证管理 PAGEREF _Toc435780424

12、 h 229 HYPERLINK l _Toc435780425 5文件系系统保护护 PAGEREF _Toc435780425 h 31 HYPERLINK l _Toc435780428 5.1日日志文件件保护 PAGEREF _Toc435780428 h 331 HYPERLINK l _Toc435780429 5.1.1 应将操操作系统统日志发发送至外外部服务务器单独独存储，确确保日志志不被篡篡改 PAGEREF _Toc435780429 h 311 HYPERLINK l _Toc435780430 5.2文文件系统统加密 PAGEREF _Toc435780430 h 331

13、 HYPERLINK l _Toc435780431 5.2.1对含含有重要要信息的的文件目目录或分分区进行行加密处处理 PAGEREF _Toc435780431 h 311 HYPERLINK l _Toc435780432 5.3分分区和挂挂载 PAGEREF _Toc435780432 h 322 HYPERLINK l _Toc435780433 5.3.1对于于系统中中的重要要目录必必须根据据存储目目的不同同进行分分区隔离离 PAGEREF _Toc435780433 h 32 HYPERLINK l _Toc435780434 5.3.2使用用fsttab对对外接、日志存存储分区

14、区进行访访问控制制。 PAGEREF _Toc435780434 h 322 HYPERLINK l _Toc435780435 5.3.3禁用用自动工工具对移移动存储储设备进进行挂载载 PAGEREF _Toc435780435 h 33 HYPERLINK l _Toc435780436 6网络防防护 PAGEREF _Toc435780436 h 344 HYPERLINK l _Toc435780437 6.1网网络防护护能力 PAGEREF _Toc435780437 h 334 HYPERLINK l _Toc435780438 6.1.1 使用syyscttl工具具增强系系统网络

15、络防护能能力 PAGEREF _Toc435780438 h 344 HYPERLINK l _Toc435780439 6.1.2 使用ipptabbless对系统统中不使使用的端端口进行行限制 PAGEREF _Toc435780439 h 335 HYPERLINK l _Toc435780440 6.2限限制网络络服务 PAGEREF _Toc435780440 h 335 HYPERLINK l _Toc435780441 6.2.1 远程访访问需使使用SSSH取代代tellnett PAGEREF _Toc435780441 h 35 HYPERLINK l _Toc4357804

16、42 6.2.2 系统中中不应安安装不安安全的传传统网络络服务 PAGEREF _Toc435780442 h 335 HYPERLINK l _Toc435780443 7漏洞攻攻击防护护 PAGEREF _Toc435780443 h 37 HYPERLINK l _Toc435780444 7.1地地址随机机化 PAGEREF _Toc435780444 h 377 HYPERLINK l _Toc435780445 7.1.1 使用Liinuxx自带的的ASLLR功能能（地址址空间布布局随机机化）增增强漏洞洞攻击防防护能力力 PAGEREF _Toc435780445 h 37 HYP

17、ERLINK l _Toc435780446 7.2数数据执行行防护 PAGEREF _Toc435780446 h 337 HYPERLINK l _Toc435780447 7.2.1 系统必必须使用用DEPP防护手手段提升升漏洞攻攻击防护护能力 PAGEREF _Toc435780447 h 337 HYPERLINK l _Toc435780448 7.2.2 使用栈栈保护机机制 PAGEREF _Toc435780448 h 388 HYPERLINK l _Toc435780449 7.3增增强性安安全防护护 PAGEREF _Toc435780449 h 39 HYPERLINK

18、 l _Toc435780450 7.3.1 使用Grrseccuriity增增强Liinuxx系统的的安全防防护能力力 PAGEREF _Toc435780450 h 39 HYPERLINK l _Toc435780451 7.3.2 使用PaaX提升升系统攻攻击防护护能力 PAGEREF _Toc435780451 h 440 HYPERLINK l _Toc435780452 8完整性性保护 PAGEREF _Toc435780452 h 443 HYPERLINK l _Toc435780453 8.1文文件完整整性检查查 PAGEREF _Toc435780453 h 43 HYP

19、ERLINK l _Toc435780454 8.1.1 使用IMMA工具具对系统统文件的的完整性性进行检检查 PAGEREF _Toc435780454 h 433 HYPERLINK l _Toc435780455 9安全隔隔离和容容器 PAGEREF _Toc435780455 h 444 HYPERLINK l _Toc435780456 9.1安安全隔离离 PAGEREF _Toc435780456 h 44 HYPERLINK l _Toc435780457 9.1.1 对于开开放给第第三方的的sheell环环境，应应使用隔隔离技术术对其可可访问的的系统资资源进行行隔离 PAGER

20、EF _Toc435780457 h 444 HYPERLINK l _Toc435780458 9.1.2 对于系系统中运运行的第第三方应应用，需需使用控控制组或或容器等等技术手手段将其其于系统统关键资资源进行行隔离。 PAGEREF _Toc435780458 h 46 HYPERLINK l _Toc435780459 10其他他 PAGEREF _Toc435780459 h 47 HYPERLINK l _Toc435780460 10.11额外系系统功能能限制 PAGEREF _Toc435780460 h 447 HYPERLINK l _Toc435780461 10.11.1

21、 对corre ddumpp功能的的使用进进行限制制 PAGEREF _Toc435780461 h 47 HYPERLINK l _Toc435780462 10.11.2 关闭闭SyssRq键键的使用用 PAGEREF _Toc435780462 h 47 HYPERLINK l _Toc435780463 10.11.3 应对对boootlooadeer开启启引导装装载密码码 PAGEREF _Toc435780463 h 48 HYPERLINK l _Toc435780464 10.11.4 使用用uliimitt工具限限制用户户可以打打开文件件个数 PAGEREF _Toc4357

22、80464 h 448 HYPERLINK l _Toc435780465 11设计计样例 PAGEREF _Toc435780465 h 550简介随着公司司业务发发展，越越来越多多的产品品被公众众所熟知知，并成成为安全全研究组组织的研研究对象象、黑客客的漏洞洞挖掘目目标，产产品的安安全问题题不可小小视。公司内内许多产产品使用用Linnux系系统作为为软件开开发和安安装的基基础，由由于对LLinuux系统统中编译译器、软软件服务务、系统统自身防防护等方方面缺乏乏足够的的了解，使使产品存存在许多多安全漏漏洞，产产品也因因此遭受受黑客的的攻击。Liinuxx安全应应用指导导结合合Linnux系系

23、统中常常用的安安全机制制安全特特性同时时结合业业界最佳佳实践，针针对业内内普遍的的Linnux系系统漏洞洞和软件件漏洞给给出指导导方法，帮帮助产品品开发团团队减少少由于设设计过程程中未引引入安全全机制或或软件加加固方法法而引入入安全风风险。本指导的的制订目目的是希希望能指指导读者者选择正正确的安安全机制制和软件件加固方方法，以以减少安安全漏洞洞的产生生。指导导涵盖LLinuux系统统中的：权限管管理、访访问控制制、认证证、审计计、文件件系统保保护、漏漏洞攻击击防护等等内容。使用对象象本指导的的读者及及使用对对象主要要是产品品涉及LLinuux系统统的需求求分析人人员、设设计人员员、开发发人员、

24、测试人人员等。适用范围围本指导适适合于公公司涉及及使用Liinuxx操作系系统的产品（嵌嵌入式产产品除外外），如如使用欧欧拉seerveer OOS、ssusee 等产产品。指导解释释Linuux安全全应用指指导目的的在于通通过结合合业内的的最佳实实践，对对在Liinuxx系统下下合理的的使用安安全机制制和安全全特性来来解决产产品安全全问题和和增强系系统安全全能力提提出要求求。其目的在在于以下下几点：充分发挥挥Linnux已已有的安安全能力力。将Linnux社社区中普普遍使用用的安全全组件及及解决方方案吸纳纳进来，合合理的应应用到系系统中，增增强系统统的安全全能力。为产品线线安全人人员解决决L

25、innux安安全问题题赋能。用词约定定规则：编编程时必必须遵守守的约定定。建议：编编程时必必须加以以考虑的的约定。说明：对对此规则则/建议进进行必要要的解释释。示例：对对此规则则/建议从从正面给给出例子子。术语解释释名词解释MAC强制访问问控制（MManddatoory Acccesss CoontrrolMAAC），用用于将系系统中的的信息分分密级和和类进行行管理，以以保证每每个用户户只能访访问到那那些被标标明可以以由他访访问的信信息的一一种访问问约束机机制。DAC自主访问问控制（DDisccrettionnaryy Acccesss CConttroll，DAAC）是是这样的的一种控控制方

26、式式，由客客体的属属主对自自己的客客体进行行管理，由由属主自自己决定定是否将将自己的的客体访访问权或或部分访访问权授授予其他他主体，这这种控制制方式是是自主的的。容器容器是一一种内核核虚拟化化技术，可可以提供供轻量级级的虚拟拟化，以以便隔离离进程和和资源，而而且不需需要提供供指令解解释机制制以及全全虚拟化化的其他他复杂性性。PAMPAM（PPlugggabble Autthennticcatiion Moddulees ）是是由Suun提出出的一种种认证机机制。它它通过提提供一些些动态链链接库和和一套统统一的AAPI，将将系统提提供的服服务 和和该服务务的认证证方式分分开，使使得系统统管理员可

27、以灵灵活地根根据需要要给不同同的服务务配置不不同的认认证方式式而无需需更改服服务程序序，同时时也便于于向系 统中添添加新的的认证手手段。ASLRRASLRR（Adddreess spaace layyoutt raandoomizzatiion）是是一种针针对缓冲冲区溢出出的安全全保护技技术，通通过对堆堆、栈、共享库库映射等等线性区区布局的的随机化化，通过过增加攻攻击者预预测目的的地址的的难度，防防止攻击击者直接接定位攻攻击代码码位置，达达到阻止止溢出攻攻击的目目的。DEPDEP (Datta EExeccutiion Preevenntioon) 是一套套软硬件件技术，能能够在内内存上执执行

28、额外外检查以以帮助防防止在系系统上运运行恶意意代码。ACL访问控制制列表（AAcceess Conntrool LListt，ACCL）。权限管理理权限最小小化1.1.1 禁止直直接使用用rooot账号号登录LLinuux系统统说明：roott是Liinuxx系统中中的超级级特权用用户，具具有所有有Linnux系系统资源源的访问问权限。如果允允许直接接使用rroott账号登登录Liinuxx系统对对系统进进行操作作，会带带来很多多潜在的的安全风风险，为为了规避避由此带带来的风风险，应应禁止直直接使用用rooot帐号号登录操操作系统统，仅在在必要的的情况通通过其他他技术手手段（如如：suu）间接

29、接的使用用rooot账号号。禁止止直接使使用rooot账账号登录录可以规规避很多多潜在的的安全风风险，提提高系统统安全性性。此条目需需满足以以下要求求：禁止直接接通过rroott账号远远程登录录系统（sssh远远程登录录）禁止直接接使用rroott账号本本地标准准终端登登录（本本地ttty登录录，如：ttyy1、ttty22等）此条目对对以下情情况不做做强制要要求：对于设备备维护用用串口不不做强制制要求，如如connsolle。系统初始始化和调调测阶段段不在规规则范围围内。实施指导导：禁止rooot账账号本地地直接登登录编辑rooot登登录设备备控制文文件seecurretttyvi /etc

30、c/seecurrettty注释掉或或删除所所有标准准终端设设备（形形如tttyN，如如：ttty1、ttyy2等）#ttyy1#ttyy2#ttyyN保存文件件后rooot用用户本地地标准终终端登录录即被禁禁止Logiin： roootPasssworrd：Logiin iincoorreect禁止rooot账账号远程程直接登登录例：修改改opeensssh服务务配置文文件，禁禁止rooot账账号远程程直接登登录编辑oppensssh服服务配置置文件ssshdd_coonfiigvi /etcc/sssh/ssshdd_coonfiig查找PeermiitRoootLLogiin配置置项（若

31、若不存在在需添加加），将将其设置置为NooPermmitRRoottLoggin No保存文件件后，重新新启动ssshdd服务/etcc/innit.d/ssshdd reestaart1.1.2 除有明明确特权权需求，应用程序应以非root账号运行说明：roott权限是是Linnux系系统中的的超级特特权用户户，具有有所有LLinuux资源源的访问问权限。若自研研程序或或者第三三方程序序存在堆堆栈溢出出漏洞，那那么攻击击者就可可以利用用漏洞植植入任意意代码，获获取程序序执行者者的权限限，进而而控制整整个系统统。因此此，我们们应该按按照最小小权限原原则设计计Linnux系系统权限限，即使使程序

32、中中存在堆堆栈溢出出漏洞，由由于被植植入恶意意代码的的程序只只有普通通用户权权限，无无法对系系统造成成严重影影响，攻攻击面大大大降低低。实施指导导:比如一个个程序在在使用普普通用户户就可以以正常运运行的情情况，就就不应用用 rooot帐帐号运行行，按照照安全设设计的最最小权限限原则，分分析应用用程序进进程所需需要的最最小权限限，无特特权需求求的程序序禁止使使用rooot运运行。实实施方法法如下：roott# uuserraddd huuaweeisu - usser -c proograamuserr代表用用户名，pproggramm是程序序名（这这里要注注意的是是程序名名要给决决对路径径）1

33、.1.3采用不不同权限限的帐号号运行不不同的应应用并对对帐号进行行权限分分离说明：在设计实实现应用用系统时时，应根根据各个个组成部部分（子子系统或或程序）运行所需的操作系统权限的不同以及暴露给用户的访问权限的不同，对其进行划分和授权，采用不同权限的帐号运行不同的程序或组成部分。此条目需需满足以以下要求求：运行weeb服务务的系统统帐号不不能和运运行数据据库的系系统帐号号是同一一个帐号号，并且且要做访访问的权权限分离离。实施指导导:例如典型型的WEEB应用用系统，由由WEBB系统和和数据库库系统组组成，WWEB系系统对外外提供访访问服务务，外部部用户通通过WEEB服务务获取页页面相关关的数据据，

34、这此此页面数数据敏感感度相对对低一些些，而数数据库系系统一般般存放业业务相关关的重要要数据，敏敏感度高高，通常常会为两两个系统统建立不不同的帐帐号和权权限，并并分配不不同的目目录来存存放敏感感度不同同的数据据。对于于WEBB系统使使用Appachhe服务务器情况况，会建建立appachhe用户户来运行行htttpd进进程，限限制htttpdd进程只只能特定定WEBB文件、配置文文件和日日志数据据，如vvar/wwww；同时时，对数数据库使使用myysqll的情况况，也会会为数据据库建立立专门的的帐户mmysqql和相相应的特特权目录录，让mmysqqld服务进进程只能能访问限限定的目目录，如如

35、varr/liib/mmysqql。通通过这样样的划分分和授权权，达到到用不同同的权限限帐号运运行不同同的程序序并实现现了运行行权限的的分离。1.1.4 在运行行时有特特权需求求的程序序，在特权权操作完完后如后续无特权需需求，必必须使用用settuidd放弃特特权说明：程序中有有些任务务必需使用用rooot权限限执行，当特权操作完成后并且后续无特权需求，应调用setuid()函数放弃root用户的权利，使用普通用户权限运行程序。需要注意的是一旦调用setuid()函数放弃root用户的权利，在后续执行中这个进程就只能以普通用户的身份运行。此条目需需满足以以下要求求：在程序启启动时需需要特权权需

36、求，启启动完成成后不需需要特权权需求的的程序，需需放弃特特权。实施指导导:#inccludde#inccludde#inccluddeint maiin()if(!settuidd( ggetuuid() ) 抛弃弃rooot权限限,进入入普通用用户权限限prinntf(seetuiid ssucccesssfullly!n);elsseprinntf(seetuiid eerroor!);perrror(seetuiid);retuurn 0;1.1.5使用用suddo机制制代替以以rooot帐号号登录运运行特权权程序的的方式。说明：sudoo可以使使普通用用户以特特定的用用户权限限执行某某

37、些命令令。大部部分系统统管理命命令都需需要使用用rooot权限限执行，对对于系统统管理员员来说，适适当的对对其它用用户授权权可以减减轻系统统管理员员负担，但但直接授授予其它它用户rroott用户密密码会带带来安全全方面的的风险，而而使用suudo可可以解决决这一问问题。此条目需需满足以以下要求求：系统中的的需要以以rooot帐号号执行的自自开发程程序，可可以使用用suddo机制制避免使使用rooot帐帐号登录录。实施指导导:下面看一一个完整整的例子子：$ caat /etcc/suudoeers为方便对对允许使使用suudo命命令的用用户分类类，我们们可以用用户分组组：Userr_Allias

38、sNETTWORRK_ MAAINTTAINNERSS=wwww,ccom#定义NNETWWORKK _CCOMMMANDDS可以以运行网网络接口口配置命命令Cmndd_AlliassNETTWORRK _COMMMANNDS = /bbin/ifcconffig,/biin/ppingg#NETTWORRK_ MAAINTTAINNERSS用户组组可以用用 rooot身身份运行行NETTWORRK _COMMMANNDS中中包含的的命令NETWWORKK_ MAAINTTAINNERSSloccalhhostt = (rooot) NEETWOORK _COOMMAANDSS1.1.6应对对

39、允许使使用suu到rooot帐帐号的用用户进行行明确授权权，非授授权用户户不能切切换到rroott说明：su命令令可以使使一个一一般用户户拥有超超级用户户或其他他用户的的权限，它它经常被被用于从从普通用用户账号号切换到到系统rroott账号。su命命令为用用户变更更身份提提供了便便捷的途途径，但但如果不不加约束束的使用用su命命令，会会给系统统带来潜潜在的风风险。通通过对用用户suu访问rroott账户的的权力进进行限制制，仅对对部分账账号进行行su使使用授权权，可以以提高系系统账号号使用的的安全性性。此条目需需满足以以下要求求：需建立ssu访问问组，非非组内帐帐号未无无法使用用su命命令切换

40、换到rooot账账号（包包括在已已知rooot口口令的情情况下）实施指导导：使用paam_llimiits模模块限制制su rooot的访访问组例：通过过组成员员限制能能够suu为rooot的的用户编辑paam的ssu配置置文件vi /etcc/paam.dd/suu查找auuth reqquirred pamm_whheell.soo配置行行（若不不存在需需添加），做做如下设设置：authh reequiiredd paam_wwheeel.sso ggrouup=wwheeel保存文件件后，根根据需要要将suu授权的的账号加加入whheell组即可可。userrmodd -aa-G whe

41、eel tesstusser这样，只只有whheell组的用用户可以以su到到rooot（执行ssu的用用户仍需要知知道rooot口口令，但但未被授授权的用用户即使使知道rroott口令也也无法通通过suu切换为为rooot用户户。POSIIX 能能力(ppcapp)是一一种分散散rooot用户户权利的的方式，使使用POOSIXX可以对对具有特特权需求求的程序序进行授授权访问问。在需需要的时时，通过过POSSIX可可以把一一项或几几项特权权赋予需需要的程程序。因因此，PPOSIIX以授授予最小小的完成成工作所所需的权权限的方方式提供供一个更更安全的的选择，坚坚持了最最小权限限的安全全原则。1.

42、1.7使用POOSIXX Caapabbiliitiees功能能避免直接接使用rroott权限说明：某个程序序运行权权限为rroott,但是是可能并并不需要要 rooot 权限的的全部能能力，以以pinng命令令为例，ppingg命令可可能只需需要caap_nnet_raww能力来来发送IICMPP piing报报文，对对于rooot其其它能力力并不是是必需的的。因此此，只需需要将ccap_nett_raaw能力力分配ppingg命令，这这样普通通用户就就可以使使用piing命命令了。使用seetcaap分配配运行命命令所需需要的能能力替换换直接使使用rooot。此功能能需要内内核版本本在2.

43、66.133以上，并且xxatttr（扩扩展文件件属性）功功能在内内核设置置中被打打开。下表为ssetccap中中提供的的能力：名称值解释CAP_CHOOWN0允许改变变文件的的所有权权CAP_DACC_OVVERRRIDEE1忽略对文文件的所所有DAAC访问问限制CAP_DACC_REEAD_SEAARCHH2忽略所有有对读、搜索操操作的限限制CAP_FOWWNERR3以最后操操作的UUID,覆盖文文件的先先前的UUIDCAP_FSEETIDD4确保在文文件被修修改后不不修改ssetuuid/settgidd位CAP_KILLL5允许对不不属于自自己的进进程发送送信号CAP_SETTGIDD

44、6允许改变变组IDDCAP_SETTUIDD7允许改变变用户IIDCAP_SETTPCAAP8允许向其其它进程程转移能能力以及及删除其其它进程程的任意意能力(只限iinitt进程)CAP_LINNUX_IMMMUTAABLEE9允许修改改文件的的不可修修改(IIMMUUTABBLE)和只添添加(AAPPEEND-ONLLY)属属性CAP_NETT_BIIND_SERRVICCE10允许绑定定到小于于10224的端端口CAP_NETT_BRROADDCASST11允许网络络广播和和多播访访问CAP_NETT_ADDMINN12允许执行行网络管管理任务务：接口口、防火火墙和路路由等CAP_NETT

45、_RAAW13允许使用用原始(raww)套接接字CAP_IPCC_LOOCK14允许锁定定共享内内存片段段CAP_IPCC_OWWNERR15忽略IPPC所有有权检查查CAP_SYSS_MOODULLE16插入和删删除内核核模块CAP_SYSS_RAAWIOO17允许对iiopeerm/ioppl的访访问CAP_SYSS_CHHROOOT18允许使用用chrroott()系系统调用用CAP_SYSS_PTTRACCE19允许跟踪踪任何进进程CAP_SYSS_PAACCTT20允许配置置进程记记帐(pproccesss acccouuntiing)CAP_SYSS_ADDMINN21允许执行行系

46、统管管理任务务：加载载/卸载载文件系系统、设设置磁盘盘配额、开/关关交换设设备和文文件等CAP_SYSS_BOOOT22允许重新新启动系系统CAP_SYSS_NIICE23允许提升升优先级级，设置置其它进进程的优优先级CAP_SYSS_REESOUURCEE24忽略资源源限制CAP_SYSS_TIIME25允许改变变系统时时钟CAP_SYSS_TTTY_CCONFFIG26允许配置置TTYY设备CAP_MKNNOD27允许使用用mknnod()系统统调用CAP_LEAASE28允许在文文件上建建立租借借锁CAP_SETTFCAAP31允许在指指定的程程序上授授权能力力给其它它程序实施指导导:参

47、考设计计样例中中的 HYPERLINK l 位置1 使使用seetcaap避免免直接使使用rooot方案文件和目目录权限限1.2.1系统统中禁止止有无主主文件存存在说明：无主文件件（和目目录）是是指属于于没有匹匹配到任任何用户户的用户户ID的的文件。通常管管理员删删除一个个用户但但是该用用户在文文件系统统中尚有有文件时时会发生生这种情情况。同同样的情情况也会会发生在在用户组组上。这这些文件件叫做未未分组文文件。如如果新用用户分配配到某个个已删除除用户的的用户IID，新新用户将将能够访访问某些些原本无无意访问问的文件件。因此此，应根根据实际际情况对对其进行行合理处处理如删删除、添添加新的的用户或

48、或用户组组等。实施指导导：可使用如如下命令令检查无无主文件件和未分分组文件件roott # finnd / ( -nnousser -o -noogrooup ) prrintt1.2.2除有明确确需求，应应删除文件件不必要要的settuidd和seetgiid位说明：非法带有有settuidd和settgidd的可执执行文件件可能对系系统造成成威胁。因此，建建议对除除必须要要带SUUID位位的可执执行文件件进行检检查，删删除不必必要可执执行文件件的seetuiid和ssetggid位位。必须须要带SSUIDD位的的的可执行行文件根根据系统统版本和和配置不不同会不不同。此条目需需满足以以下要求

49、求：公司自主主开发的的软件/程序需需遵守本本条目（操作系统自带程序不做严格限制）。实施指导导：可使用如如下命令令来显示示settuidd 和ssetggid 可执行行文件：roott # finnd / -ttypee f ( -peerm -40000 -o -peerm -20000 ) prrintt显然，命命令结果果中会列列出很多多设置了了settuidd/seetgiid 位位的文件件（例如如/ussr/bbin/passswdd 文件件）：仔仔细确认认文件列列表并确确认是否否有必要要设置该该权限。如果确定定某可执执行文件件没有必必要设置置settuidd位，使使用以下下命令将将其删

50、除除：roott # chmmod -s FILLE1.2.3应为为系统用用户设置置缺省的的umaask值值说明：umassk设置置了用户户创建文文件的默默认权限限。一般在在/ettc/pproffilee、$ HOOME/.bbashh_prrofiile或或$HHOMEE/.proofille中设设置ummaskk值。因因此系统统必须设设置Umassk值，普通用户推荐值为022,超级用户推荐值为027。如果用户希望创建的文件或目录的权限不是umask指定的缺省权限，可以修改缺省的umask值，然后再创建文件或目录。 实施指导导：$umaask查询默认认的ummaskk值020系统默认认为0

51、220，更改改为所希希望的0022$umaask0022$touuch tesstfiile创建文件件$ls -l tesstfiile查看创建建后的权权限rxwrr-xrr-x addminn addminn 7886 NNov 17 10:45 /hoome/ teestffilee1.2.4使用用特殊属属性位Stiickyy位对共共享目录录权限进进行控制制说明：Sticcky位位是Liinuxx系统下下的一种种特殊文文件属性性位，可可用于加加强对文文件的权权限管理理，合理理的使用用Stiickyy位属性性，能够够帮助提提高文件件和目录录的安全全性。使用Sttickky位对对共享目目录权限

52、限进行控控制，可可以防止止共享目目录中不不属于自自己的文文件被恶恶意或无无意删除除。在LLinuux系统统下，最最典型的的共享目目录为用用于临时时文件存存取的/tmpp和/vvar/tmpp目录。此条目需需满足以以下要求求：对/tmmp和/varr/tmmp目录录应设置置Stiickyy位，确确保用户户（rooot除除外）只只能对自自己建立立的文件件或目录录进行删删除/更更名/移移动等动动作。实施指导导：在Linnux系系统下，有有一些特殊殊文件属属性位用用于加强强对文件件的权限限管理，合合理的使使用这些些特殊属属性，能能够帮助助提高文文件和目目录的安安全性。使用Sttickky位对对共享目目

53、录权限限进行控控制，可可以防止止共享目目录中不不属于自自己的文文件被恶恶意或无无意删除除。对不不希望被被修改的的文件设设置非可可变位（IImmuutabble bitt），系统统不允许许对这个个文件进进行任何何的修改改。如果果对目录设置置这个属属性，那那么任何何的进程程只能修修改目录录中已存存在的文文件，不不能建立和和删除文文件。对对不允许许修改历历史内容容的文件件设置只只追加位位（Apppennd-oonlyy biit），系系统只允允许在这这个文件件之后追追加数据据，不允允许任何何进程覆覆盖或者者截断这这个文件件。如果果目录具具有这个个属性，系系统将只只允许在在这个目目录下建建立和修修改文

54、件件，而不不允许删删除任何何文件。设置sttickky位chmood +t /tmpp$ lss -lld /tmppdrwwxrwwxrwwt 11 rooot rooot 7786 Novv 177 100:455 /ttmp注意：rrwt权权限中tt代表ssticcky和和exeecutte位。如果显显示的是是T，那那么只有有stiickyy位置位位了。1.2.5 利用特特殊文件件属性AAppeend-onlly位保保护系统统命令行行历史日日志文件件，防止止内容被被篡改说明：在Linnux系系统下，有有一些特殊殊文件属属性位用用于加强强对文件件的权限限管理，合合理的使使用这些些特殊属属性

55、，能能够帮助助提高文文件和目目录的安安全性。对不允允许修改改历史内内容的文文件设置置只追加加位（AAppeend-onlly bbit），系系统将只允许许在这个个文件之之后追加加数据，不不允许任任何进程程覆盖或或者截断断这个文文件。如如果目录录具有这这个属性性，系统统将只允允许在这这个目录录下建立立和修改改文件，而而不允许许删除任任何文件件。此条目需需满足以以下要求求：对系统中中的用户户命令行行历史日日志文件件（典型型名称如如：.bbashh_hiistoory）设置只只追加位位（Apppennd-oonlyy biit），防防止日志志被篡改改。此条目对对以下情情况不做做强制要要求：对命令行行

56、日志文文件有定定期截断断或回滚滚需求的的系统不不做追加加位（AAppeend-onlly bbit）设置的强制要求。实施指导导：设置非可可变位和和只追加加位$ suudo chaattrr +aai ttestt.txxt$ lsaattrr teest.txttiaa ttestt.txxt访问控制制自主访问问控制2.1.1 使用POOSIXX ACCL进行行更细粒粒度的访访问控制制说明：虽然Liinuxx系统提提供了文文件控制制机制，但但是也具具有一些些局限性性。例如如，一个个目录只只允许一一个组访访问。PPOSIIX AACL提提供了一一种更加加细粒度度的访问问控制机机制，通通过运用用这

57、种机机制，文文件系统统对象可可以为具具体用户户和组分分配访问问权限。每一个个文件系系统对象象都有一一条对应应的访问问ACLL，用于于控制对对该对象象的访问问。此外外，目录录还可以以包括一一条缺省省的ACCL，该该缺省AACL决决定了本本目录中中创建的的对象的的首次访访问ACCL。此此功能需需要内核核版本22.6以以上，并并且内核核开启PPOSIIX AACL、xatttr功功能 。此建议议适用于于提供对对文件或或目录的的细粒度度访问控控制的情情形，比比如：同同一个用用户组中中的两个个用户，对对特定的的文件或或目录，需需要设定定一个用用户拥有有写的权权限，而而另一个个用户只只拥有只只读权限限。此

58、条目需需满足以以下要求求：对于特定定的目录录或文件件仅允许许特定的的几个用用户组或或用户设设置使用用权限的的情形，建建议使用用ACLL进行细细粒度的的访问控控制。POSIIX AACL条条目名称称解释用法ACL_USEER_OOBJ所有者的的访问权权限userr:ACL_USEERacceess rigghtss off soome speeciffic useer, othher thaan tthe ownner除所有者者外，一一些特定定用户的的访问权权限userr:USSERNNAMEE:ACL_GROOUP_OBJJacceess rigghtss off thhe ggrouup t

59、thatt owwns thee fiile文件所属属组的访访问权限限grouup:ACL_GROOUPacceess rigghtss off soome grooup thaat ddoessntt owwn tthe fille非文件所所属组的的访问权权限grouup:GGROUUPNAAME:ACL_OTHHERacceess rigghtss off annyonne nnot othherwwisee cooverred所有没有有覆盖用用户的访访问根限限otheer:ACL_MASSKmaxiimumm poossiiblee acccesss rrighhts forr evve

60、ryyonee, eexceept forr thhe oowneer aand OTHHER定义了AACL_USEER, ACLL_GRROUPP_OBBJ和AACL_GROOUP的的最大权权限。maskk:GRROUPPNAMME:实施指导导：下面用几几个例子子来解释释这些概概念：通过设置置umaask为为0277，设置置新创建建的文件件组没有有写权限限和其他他用户的的没有任任何权限限$ ummaskk 0227$ mkkdirr diirecctorry$ lss -lld ddireectoory/drwxxr-xx 1 bobb usserss 0 decc 11 155:100 d