linux安全技术第3章-文件系统

3.1.文3.1.文件系统是unix系统安全。在unix中，所有的事物都是文件。Unix 、Sockets等等。这些不（"/"整个就是一个文件系统每个文件对应一个"i节点"，"i节点"包括型、ctime（"i节点"上次修改时间、mtime（文件上次修改时间、atime（件上 时间、/bin/dev特殊设备文/etc/home/libroot/lost+found/mnt临时安装的文件系统（如光驱、软驱/proc一个伪文件系统用来作为到内核数据结构或正在运行的进程的接（用/sbinroot使用的可执行文件和只需要引导或安装/usr/tmp临时文/usr为用户和系统命令使用的可执行文件、头文件、共享库、帮助文件、本地程序（在/usr/local中）/var用于电子邮件、打印、cron文件系统有多种类型，linux内核支持如下文件系统ext2linuxmsdosMS-DOSWindows使用umsdosLinux使用的一种扩充的DOSiso9660遵从ISO9660标准的CD-ROM文件系hpfsHighPerformanceFilesystem高性能文件系统，OS/2minix在MinuxOS中使用，最早的Linuxnfsswap3.2.文hpfsHighPerformanceFilesystem高性能文件系统，OS/2minix在MinuxOS中使用，最早的Linuxnfsswap3.2.文件权unix文件系统安全的关键。Unix中的每个用户有一个唯一的用户名和UID（用户ID号，每个用户属于一个或多个组。基本分组成员在/etc/passwd中定义附加的分组成员在/etc/group中定义例如用户2251（students18（9位（3位，合起来称为模式位（modebits文件类型，如（d表示目录，-表示普通文件，lls-l文件等等drwxr-xr-x2rootroot1024Aug1309:22-rw-r--r--1rootroot1824Apr2118:45-rw-------1rootroot65536Apr2217:56-rw-r-----1rootroot2351Apr2214:01-rwxr-xr-x1rootroot27492Apr2118:47-rw-r-----1tigertiger2450Apr2215:16-rw-r-----1tigertiger1544Apr2215:02-rwxr-xr-x1rootroot8280May310:35例如最后一行以"-"开始表示test使一个普通文件文件拥有者可以读写执行od和3.3.。SUID表示"ID"，SGID表示"ID"行一个SUIDIDID。rootSGID文件时，用户的组被置为文件的组。例如，PS命令以SUIDroot运行，他从系统 是SUID设为root的程序。UnixID。"realuserID"是在登录过程中建立的用户ID"effectiveuserID"SUIDSGID命令拥有者的权限。例如普通用户运行passwd命令时，他能够修改/etc/passwdrootpasswd命令拥有者的权限。例如普通用户运行passwd命令时，他能够修改/etc/passwdrootpasswd令以root的SUID权限运行。那么如何识别SUID程序呢限模式，在它的第四位如果不是"x"，而是"s"，就是一个SUID-lbin/su-rwsr-xr-x1rootroot14888Aug151999su是一个SUIDUnix系统安全的一种典就是创建一个SUIDroot拷贝者就获得了root的权利。例如，某个系管理员忘了关闭某个root的Scp odbadman现在就有了一个bash的SUIDroot拷贝任其处理他就有完整的SUIDSGID令可以实现：find/-typef(-perm-4000-o-perm-2000)-find（如Tripwire）来进行检查3.4.加密与验Tripwire工具提出了使用密技术可以用来保护为一堆乱码的密文，从而起到保护文件内容的作用。Unix常用的加密算法有RC4、Blowfish（简单高效的DES、RSA明，需要了解请阅读chneier的《学》一书。注意单向PGP是unixIDEA算法为数据RSAMD5hash，连发送者的签名也加密。还可以用来加密本地文件。现在常用的Linux下的PGP工具为：pgpe（加密pgps（签名、pgpv（确认、pgpk（管理密钥"特洛伊木马"的故事不知道大家听没有。古希腊人久攻特洛伊城不下，于是Minerva表示和解。特洛伊的子邮件发送的程序；不执行从非信任的Web站点得到的Javaapplets"特洛伊木马"的故事不知道大家听没有。古希腊人久攻特洛伊城不下，于是Minerva表示和解。特洛伊的子邮件发送的程序；不执行从非信任的Web站点得到的Javaapplets和JavaMD5Redinux中包含的md5sum工具，例如md5sum和最好从新，本文件不可靠。m5sm安装系统之后对重要的lilom5sumllo3.5.放置特洛伊木马 。Linux中用cksum命令对一个特定文件执行16位验和的计算，上面的md5sumRPM（RedHatPackagemanager）是由RedHatSoftwareLinux产品之中的多功能一个括了一个压缩文件和包信息。当使用RPM安时，RPM每个被安装文件向数据库中添加信息，包括：MD5校验和、文件大小、文件类RPM以"--verify"差异。例如，下面检验当前的S.5….TS.5….T/usr/local/bS.5….T……..TTripwire文件已经被改动。RPM签名检查命令的常见形式为-checksig+，他检查包含在包内的PGP签名以保证完S.5….T/usr/local/bS.5….T……..TTripwire文件已经被改动。RPM签名检查命令的常见形式为-checksig+，他检查包含在包内的PGP签名以保证完整性3.6.断：如果一个系统保 数据，那么就应该以加密形式保存。加密文件系（CFS）CFS目录的内容在写时自动加密，在打开时自 。RedHat的CFS可以从下：（TCFS：3.7.份）等等。Linux系统提供了以下备份工具：a.cp：拷贝，例如把dir1中的所有内容拷贝到dir2：cp-Rdir1b.tar：可以创建、把文件添加到或从一个一个文件，它包含其他的许多文件和有关信息。Tar最初用于磁带机c.cpio或，与tar类d.dump：得到整个文件系统并把他拷贝到备份介质上，一个确保完整备份的正规方式是跟随定期增量备份运行一个0级或完全备份，dump支持10个级别并能把上次备份后改动的所有文件以更低的级别备份。缺省情况dump将备份到磁盘介质。例如，把一个SCSI硬盘（/dev/rsd0a）以0（/dev/rst0e.lrestoredumprest