備,程序只須打開設(shè)備文件,然后作為普通的UNIX文件來使用.
從安全的觀點(diǎn)來看這樣處理很好,因?yàn)槿魏卧O(shè)備上進(jìn)行的I/O操作只經(jīng)過
了少量的渠道(即設(shè)備文件).用戶不能直接地存取設(shè)備.所以如果正確地設(shè)置
了磁盤分區(qū)的存取許可,用戶就只能通過UNIX文件系統(tǒng)存取磁盤.文件系統(tǒng)有
內(nèi)部安全機(jī)制(文件許可).不幸的是,如果磁盤分區(qū)設(shè)備得不正確,任何用戶都
能夠?qū)懸粋€(gè)程序讀磁盤分區(qū)中的每個(gè)文件,作法很簡(jiǎn)單:讀一i節(jié)點(diǎn),然后以磁
盤地址表中塊號(hào)出現(xiàn)的順序,依次讀這些塊號(hào)指出的存有文件內(nèi)容的塊.故除
了root以外,決不要使盤分區(qū)對(duì)任何人可寫.因?yàn)樗姓?文件存取許可方式這
樣一些信息存放于i節(jié)點(diǎn)中,任何人只要具有已安裝分區(qū)的寫許可,就能設(shè)置任
何文件的SUID許可,而不管文件的所有者是誰,也不必用chmod()命令,還可避
過系統(tǒng)建立的安全檢查.
以上所述對(duì)內(nèi)存文件mem,kmem和對(duì)換文件swap也是一樣的.這些文件含有
用戶信息,一個(gè)"耐心"的程序可以將用戶信息提取出來.
要避免磁盤分區(qū)(以及其它設(shè)備)可讀可寫,應(yīng)當(dāng)在建立設(shè)備文件前先用
umask命令設(shè)置文件建立屏蔽值.
一般情況下,UNIX系統(tǒng)上的終端口對(duì)任何人都是可寫的,從而使用戶可以
用write命令發(fā)送信息.雖然write命令易引起安全方面的問題,但大多數(shù)用戶
覺得用write得到其他用戶的信息很方便,所以系統(tǒng)將終端設(shè)備的存取許可設(shè)
置成對(duì)所有用戶可寫.
/dev目錄應(yīng)當(dāng)是755存取許可方式,且屬root所有.
不允許除root外的任何用戶讀或?qū)懕P分區(qū)的原則有一例外,即一些程序
(通常是數(shù)據(jù)庫系統(tǒng))要求對(duì)磁盤分區(qū)直接存取,解決這個(gè)問題的經(jīng)驗(yàn)的盤分區(qū)
應(yīng)當(dāng)由這種程序?qū)S?不安裝文件系統(tǒng)),而且應(yīng)當(dāng)告知使用這種程序的用戶,
文件安全保護(hù)將由程序自己而不是UNIX文件系統(tǒng)完成.
(5)find命令
find命令用于搜索目錄樹,并對(duì)目錄樹上的所有文件執(zhí)行某種操作,參數(shù)
是目錄名表(指出從哪些起點(diǎn)開始搜索),還可給出一個(gè)或多個(gè)選項(xiàng),規(guī)定對(duì)每
個(gè)文件執(zhí)行什么操作.
find . -print 將列出當(dāng)前工作目錄下的目錄樹的每一個(gè)文件.
find / -user bob -print 將列出在系統(tǒng)中可找到的屬于bob用戶的所有
文件.
find /usr/bob -perm 666 -print 將列出/usr/bob目錄樹下所有存取許
可為666的文件.若將666改為-666則將列出所有具有包含了666在內(nèi)
的存取許可方式的文件(如777).
find /usr/bob -type b -print 將列出/usr/bob目錄樹下所有塊特別文
件(c為字符特別文件).
find / -user root -perm -4000 -exec ls -l {} ; 是一個(gè)較復(fù)雜一
點(diǎn)的命令,-exec COMMAND ;允許對(duì)所找到的每個(gè)文件運(yùn)行指定的
命令COMMAND.若COMMAND中含有{},則{}將由find所找到的文件名替
換.COMMAND必須以;結(jié)束.
以上舉例介紹find的用法,各選項(xiàng)可組合使用以達(dá)到更強(qiáng)的功能.
(6)secure程序
系統(tǒng)管理員應(yīng)當(dāng)做一個(gè)程序以定期檢查系統(tǒng)中的各個(gè)系統(tǒng)文件,包括檢查
設(shè)備文件和SUID,SGID程序,尤其要注意檢查SUID,SGID程序,檢查/etc/passwd
和/etc/group文件,尋找久未登錄的戶頭和校驗(yàn)各重要文件是否被修改.
(源程序清單將在今后發(fā)表)
(7)ncheck命令
用于檢查文件系統(tǒng),只用一個(gè)磁盤分區(qū)名作為參數(shù),將列出i節(jié)點(diǎn)號(hào)及相應(yīng)
的文件名.i節(jié)點(diǎn)相同的文件為建鏈文件.
注意:所列出的清單文件名與mount命令的第一個(gè)域相同的文件名前部分
將不會(huì)列出來.因?yàn)槭亲鑫募到y(tǒng)內(nèi)部的檢查,ncheck并不知道文件系統(tǒng)安裝
點(diǎn)以上部分的目錄.
也可用此命令來搜索文件系統(tǒng)中所有的SUID和SGID程序和設(shè)備文件,使用
-s選項(xiàng)來完成此項(xiàng)功能.
(8)安裝和拆卸文件系統(tǒng)
推薦閱讀
- win10系統(tǒng)中電腦關(guān)機(jī)無反應(yīng)具體處理步驟
- SCO UNIX 根文件系統(tǒng)的清理
- Unix系統(tǒng)中按需定制用戶工作環(huán)境
- UNIX常用的系統(tǒng)調(diào)用
- Win10系統(tǒng)中瀏覽器提示已完畢但網(wǎng)頁上有錯(cuò)誤具體處理步驟
- win7系統(tǒng)中調(diào)節(jié)壁紙大小具體操作方法
- 程序員安全
- 5g信號(hào)塔輻射安全距離是多少
- 網(wǎng)絡(luò)安全
- 如何完成UNIX系統(tǒng)中大批量數(shù)據(jù)的自動(dòng)備份