Linux操作系统安全配置 课件 项目2　文件系统安全配置

单击此处编辑母版标题样式

chattr锁定系统文件学习内容企业需求0102锁定系统关键文件03解除锁定的文件04总结企业需求1某公司需要给服务器的操作系统文件进行部分锁定，主要为了使得Linux系统更加安全，减少被黑客入侵的可能性，具体要求如下：（1）锁定系统中的关键文件（2）解除锁定的文件企业需求1需求分析：此处需要锁定系统的关键文件，Linux中可以实现该功能的命令是：chattr

锁定系统关键文件21.chattr命令介绍chattr命令可以对系统中的关键文件进行锁定。一旦锁定之后，即使是root用户也无法对这些文件进行操作。chattr的用法：chattr[-RVf][-+=aAcCdDeijsStTu][-vversion]files...最关键的是[-+=aAcCdDeijsStTu]这部分，它是用来控制文件的属性。chmod只是改变文件的读写、执行权限，更底层的属性控制是由chattr来改变的。

锁定系统关键文件22.配置“i”属性使文件不可更改[root@server~]#chattr+i/etc/passwd/etc/shadow/etc/group/etc/gshadow说明：+：在原有参数设定基础上，追加参数i：设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容一旦锁定之后，即使是root用户也无法对这些文件进行操作

锁定系统关键文件22.配置“i”属性使文件不可更改查看属性变化[root@server~]#lsattr/etc/passwd----i-----------/etc/passwd，从结果可以看到属性中多了i此时如果对/etc/passwd进行修改会有错误提示：Operationnotpermitted或者Permissiondenied

锁定系统关键文件23.配置“a”属性使文件只允许追加[root@server~]#chattr+a/etc/resolv.conf说明：+：在原有参数设定基础上，追加参数a：即append，设定该参数后，只能向文件中添加数据，而不能删除，多用于服务器日志文件安全，只有root才能设定这个属性[root@server~]#echo"nameserver8.8.8.8">>/etc/resolv.conf

锁定系统关键文件24.配置“-R”和“+i”属性使文件夹和其子文件夹成为安全目录查看属性变化[root@server~]#mkdirsysadmin[root@server~]#mkdirsysadmin/admim_{1,2,3,4,5}[root@server~]#ls-lsysadmin/[root@server~]#chattr-R+isysadmin

锁定系统关键文件24.配置“-R”和“+i”属性使文件夹和其子文件夹成为安全目录查看属性变化[root@server~]#lsattr-Rsysadmin----i-----------sysadmin/admim_1sysadmin/admim_1:----i-----------sysadmin/admim_2sysadmin/admim_2:----i-----------sysadmin/admim_3sysadmin/admim_3:----i-----------sysadmin/admim_4sysadmin/admim_4:

解除锁定的文件系统31.配置“i”解除文件不可更改属性[root@server~]#chattr-i/etc/passwd/etc/shadow/etc/group/etc/gshadow说明：-：在原有参数设定基础上，移除参数i：设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容一旦锁定之后，即使是root用户也无法对这些文件进行操作

解除锁定的文件系统32.配置“a”解除文件只允许追加属性[root@server~]#chattr-a/etc/resolv.conf说明：-：在原有参数设定基础上，移除参数a：即append，设定该参数后，只能向文件中添加数据，而不能删除，多用于服务器日志文件安全，只有root才能设定这个属性总结4如果需要对/var/log中的日志文件进行保护该如何实现？总结4chattr命令介绍锁定系统文件解锁系统文件单击此处编辑母版标题样式

SetUID特殊权限设置学习内容企业需求0102SUID特殊权限功能与设置03总结企业需求1某公司的Linux服务器上有些二进制文件只有root用户有权限执行它，其他的用户执行时总是提示错误信息。企业具体要求如下：1.普通用户在执行此二进制程序文件时具有该文件所有者(owner)的权限2.普通用户仅在执行二进制文件时才具有该文件所有者(owner)的权限企业需求1需求分析：普通用户对这些二进制文件的权限需求是临时的、暂时的，管理员需要对普通用户进行“临时提权”的设置，可以通过重新设定此二进制文件的权限来实现。文件特殊权限的设置可以满足以上需求，实现命令是chmod文件的特殊权限有三种：SUID、SGID、SBIT

SUID特殊权限功能与设置21.SUID介绍setuid权限，任何一个用户运行一个带此权限的命令时，不是以此用户的身份启动，而是以文件的拥有者(owner)访问。注意：SUID权限仅对二进制程序有效；运行者对于该程序需要具有x的可运行权限；本权限仅在运行该程序的过程中有效(run-time)；运行者将具有该程序拥有者(owner)的权限。

SUID特殊权限功能与设置22.SUID设置例如：使得普通用户能够用touch命令创建文件方法一：[root@server~]#chmodu+s/usr/bin/touch方法二：[root@server~]#chmod4755/usr/bin/touch说明：4755：4代表setuid，755是touch命令的二进制执行文件的原权限

SUID特殊权限功能与设置23.SUID设置结果原权限：[root@serveruser1]#ll/usr/bin/touch-rwxr-xr-x.1rootroot62488Nov52018/usr/bin/touch设置后权限：[root@serveruser1]#ll/usr/bin/touch-rwsr-xr-x.1rootroot62488Nov52018/usr/bin/touch注意：如果出现的是大写S，这是因为没有x权限。只能先给赋x的权限，然后再给s权限。总结3使得user1用户能够更改自身的登陆密码该如何设置？使用SUID会使系统面临哪些风险？总结3SUID特殊权限功能与设置单击此处编辑母版标题样式

SetGID特殊权限设置学习内容企业需求0102SGID特殊权限功能与设置03总结企业需求1学生用户stu1和stu2都属于stu项目组，在同一个目录/student下工作，该目录只能够给stu项目组使用。项目组所有成员可以对/student目录中的文件进行读写操作。企业需求1需求分析：可以通过重新设定目录的SGID权限来实现。实现命令为chmod。

SGID特殊权限功能与设置21.SGID介绍当s标志在文件拥有者的x位置时为SUID，那s在群组的x时则称为SGID。与SUID不同的是，SGID可以针对文件或目录来配置。如果是对文件来说，SGID有如下的功能：SGID对二进制程序文件有用；程序运行者对于该程序来说，需具备x的权限；运行者在运行的过程中将会获得该程序群组的支持。

SGID特殊权限功能与设置21.SGID介绍对目录来说，SGID有如下的功能：使用者若对于此目录具有r与x的权限时，该使用者能够进入此目录；使用者在此目录下的有效群组(effectivegroup)将会变成该目录的群组；

SGID特殊权限功能与设置22.对文件设置SGID特殊权限方法一：[user1@server~]$chmodg+sfile1方法二：[user1@server~]$chmod2755file1说明：2755：2代表setgid，755是file1文件的原权限

SGID特殊权限功能与设置23.SGID设置结果原权限：[user1@server~]$llfile1-rwxrwxr--.1user1user10Oct805:54file1设置后权限：[user1@server~]$llfile1-rwxrwsr--.1user1user10Oct805:54file1注意：如果出现的是S，这是因为没有x权限，只能先给赋x的权限，然后再给s权限。SGID对文件和对目录的设置命令是相同的。

SGID特殊权限功能与设置2例：普通用户使用locate命令查看locate命令执行文件的权限[user1@server~]$ll/usr/bin/locate-rwx--s--x.1rootslocate40512Nov52018/usr/bin/locate可以看出普通用户只有x权限，没有rw权限。所以理论上普通用户是无法执行locate命令的。不过因为locate命令有SGID权限，所以运行locate命令时，会被临时赋予locate执行文件(/usr/bin/locate)用户组权限，相当于user1这个用户被临时加入了用户组slocate。

SGID特殊权限功能与设置24.对目录设置SGID权限方法一：[root@server~]#chmodg+s/student方法二：[root@server~]#chmod2770/student说明：2770：2代表setgid，770是student目录的原权限

SGID特殊权限功能与设置25.SGID设置结果原权限：[root@server~]#ll/|grepstudentdrwxrwx---.2rootstu0Oct805:54file2设置后权限：[root@server~]#ll/|grepstudentdrwxrws---.2rootstu0Oct805:54file2注意：具有SGID特殊权限后，在目录/student下的文件或目录可以被stu项目组的成员操作。总结3使用SGID会使系统面临哪些风险？怎样同时设置SGID和SUID？总结3SGID特殊权限功能与设置单击此处编辑母版标题样式

StickyBit特殊权限设置学习内容企业需求0102SBIT特殊权限功能与设置03总结企业需求1某公司的Linux服务器上的某些目录非常重要，目录中存放重要的数据，所以要求只有创建者和root才能删除它，其他用户不能删除该目录中的数据。企业需求1需求分析：“只有创建者和root能删除，其他用户不能删除”，此需求可以通过设定目录的SBIT权限来实现。

SBIT特殊权限功能与设置21.SBIT介绍SBIT（stickybit）对于目录的功能是：当使用者对于此目录具有w,x权限，亦即具有写入的权限时；当使用者在该目录下创建文件或目录时，仅有自己与root才有权力删除该文件。注意：只针对目录有效

SBIT特殊权限功能与设置22.SBIT设置方法一：[user1@server~]$chmodo+tdir1方法二：[user1@server~]$chmod1775dir1说明：1775：1代表stickybit，775是dir1目录的原权限

SBIT特殊权限功能与设置23.SBIT设置结果原权限：[user1@server~]$ll.|grepdir1drwxrwxr-x.2user1user16Oct806:11dir1设置后权限：[user1@server~]$ll.|grepdir1drwxrwxr-t.2user1user16Oct806:11dir1注意：如果出现的是T，这是因为没有x权限，只能先赋与x的权限，然后再给t权限。

SBIT特殊权限功能与设置2实训：设置/home/student目录的SBIT权限，使得student目录中的文件或目录只有它的创建者student和root用户才能删除它。总结3使用SBIT会使系统面临哪些风险？总结3SBIT特殊权限功能与设置单击此处编辑母版标题样式

ACL设置学习内容企业需求0102ACL简介03ACL设置04总结企业需求1某公司服务器管理员需要对服务器进行特殊权限的设定，具体要求如下：（1）能够针对单个用户、单个文件或目录进行权限的设定企业需求1需求分析：此处需要针对单个用户，单个文件或目录进行r，w，x的权限设定，Linux中可以实现该功能的是：ACLACL功能的命令有：setfacl：设置文件/目录权限getfacl：查看文件/目录权限

ACL简介21.ACL介绍ACL是AccessControlList的缩写，主要的目的是在提供传统的owner，group，others的read，write，execute权限之外的局部权限设定。ACL可以针对单个用户，单个文件或目录来进行r，w，x的权限设定；特别适用于需要特殊权限的使用情况。简单来说，ACL就是可以设置特定用户或用户组对于一个文件/目录的操作权限。

ACL简介22.ACL控制权限ACL可以针对以下几个项目来控制权限：用户（user）：可以针对用户设置权限用户组（group）：可以针对用户组设置权限默认属性（mask）：可以在该目录下新建文件/目录时设置新数据的默认权限

ACL简介23.ACL命令ACL主要命令如下：setfacl：设置某个目录/文件的ACL规则getfacl：查看某个目录/文件的ACL设置项目

ACL设置31.查看Linux系统支持ACL功能[root@server~]#cat/boot/config-3.10.0-963.el7.x86_64|grep-iext4CONFIG_EXT4_FS=mCONFIG_EXT4_USE_FOR_EXT23=yCONFIG_EXT4_FS_POSIX_ACL=y//表示支持ACLCONFIG_EXT4_FS_SECURITY=y

ACL设置32.setfacl命令setfacl语法：setfacl<选项>[规则]<文件/目录>选项：-m新增一条ACL规则-x删除一条ACL规则-b清空所有ACL规则-R：递归设置ACL参数-d：设置预设的ACL参数（只对目录有效，在该目录新建的文件也会使用此ACL默认值）-k：删除预设的ACL参数

ACL设置32.setfacl命令setfacl语法：setfacl<选项>[规则]<文件/目录>“规则“组成结构：身份：对应身份名：三种权限[u|g]：[用户名|用户组名]：[rwx]

ACL设置33.getfacl命令getfacl语法：getfacl<文件/目录>说明：[root@server~]#getfacl/tmpgetfacl:Removingleading'/'fromabsolutepathnames#file:tmp//目录名称#owner:root//目录所有者#group:root//目录所属用户组#flags:--t//目录有特殊权限SBITuser::rwx//目录所有者拥有rwx权限，没有设置ACLgroup::rwx//目录所属用户组拥有rwx权限other::rwx//其它用户拥有rwx权限

ACL设置34.ACL设置-用户为/srv/acltest文件设置ACL，使用户user1对其具有rwx权限[root@serversrv]#setfacl-mu:user1:rwxacltest原权限：-rwxr--r--.1rootroot0Oct804:58acltest设置后：-rwxrwxr--+1rootroot0Oct804:58acltest权限部分多了个“+”，代表了该文件设置了ACL

ACL设置34.ACL设置-用户getfacl查看ACL权限[root@serversrv]#getfaclacltest#file:acltest#owner:root#group:rootuser::rwxuser:user1:rwx//在文件acltest上针对用户user1设置了rwx权限group::r--mask::rwxother::r--

ACL设置34.ACL设置-用户组为/srv/acltest文件设置ACL，使群组manager对其具有rx权限[root@serversrv]#setfacl-mg:manager:rxacltest[root@serversrv]#getfaclacltest//getfacl查看ACL权限#file:acltest#owner:root#group:rootuser::rwxuser:user1:rwxgroup::r--group:manager:r-x//在文件acltest上针对用户群组manager设置了rx权限mask::rwxother::r--

ACL设置34.ACL设置-有效权限mask值为acltest文件设置ACL，使user1用户、manager组只具有r权限[root@serversrv]#setfacl-mm::racltest[root@serversrv]#getfaclacltest#file:acltest#owner:root#group:rootuser::rwxuser:user1:rwx #effective:r--//user1对文件只有r权限而已group::r--group:manager:r-x #effective:r--//manager对文件只有r权限而已mask::r--other::r--

ACL设置34.ACL设置-有效权限mask值说明：user:user1:rwx #effective:r-- “user:user1:rwx“表示给user1设置了rwx权限，”effective:r--”表示虽然user1拥有rwx权限，但是真正有效果的只有r权限。group:manager:r-x #effective:r--“group:manager:r-x”表示给manager设置了rx权限，”effective:r--”表示虽然manager拥有rwx权限，但是真正有效果的只有r权限。

ACL设置34.ACL设置-有效权限mask值测试：用户user1为acltest文件内添加内容“123”[user1@serversrv]$echo"123">acltestbash:acltest:Permissiondenied因为用户user1有效权限为r，没有wx权限

ACL设置34.ACL设置-DefaultACL以上讲的ACL都