UNIX文件系統(tǒng)是可安裝的,這意味著每個(gè)文件系統(tǒng)可以連接到整個(gè)目錄樹
的任意節(jié)點(diǎn)上(根目錄總是被安裝上的).安裝文件系統(tǒng)的目錄稱為安裝點(diǎn).
/etc/mount命令用于安裝文件系統(tǒng),用這條命令可將文件系統(tǒng)安裝在現(xiàn)有
目錄結(jié)構(gòu)的任意處.
安裝文件系統(tǒng)時(shí),安裝點(diǎn)的文件和目錄都是不可存取的,因此未安裝文件
系統(tǒng)時(shí),不要將文件存入安裝點(diǎn)目錄.文件系統(tǒng)安裝后,安裝點(diǎn)的存取許可方式
和所有者將改變?yōu)樗惭b的文件根目錄的許可方式和所有者.
安裝文件系統(tǒng)時(shí)要小心:安裝點(diǎn)的屬性會(huì)改變!還要注意新建的文件,除非
新文件系統(tǒng)是由標(biāo)準(zhǔn)文件建立的,系統(tǒng)標(biāo)準(zhǔn)文件會(huì)設(shè)置適當(dāng)?shù)拇嫒≡S可方式,
否則新文件系統(tǒng)的存取許可將是777!
可用-r選項(xiàng)將文件系統(tǒng)安裝成只讀文件系統(tǒng).需要寫保護(hù)的帶驅(qū)動(dòng)器和磁
盤應(yīng)當(dāng)以這種方式來安裝.
不帶任何參數(shù)的/etc/mount可獲得系統(tǒng)中所安裝的文件系統(tǒng)的有關(guān)信息.
包括:文件系統(tǒng)被安裝的安裝點(diǎn)目錄,對應(yīng)/dev中的哪個(gè)設(shè)備,只讀或可讀寫,
安裝時(shí)間和日期等.
從安全的觀點(diǎn)來講,可安裝系統(tǒng)的危險(xiǎn)來自用戶可能請求系統(tǒng)管理員為其
安裝用戶自己的文件系統(tǒng).如果安裝了用戶的文件系統(tǒng),則應(yīng)在允許用戶存取
文件系統(tǒng)前,先掃描用戶的文件系統(tǒng),搜索SUID/SGID程序和設(shè)備文件.在除了
root外任何人不能執(zhí)行的目錄中安裝文件系統(tǒng),用find命令或secure列出可疑
文件,刪除不屬用戶所有的文件的SUID/SGID許可.
用戶的文件系統(tǒng)用完后,可用umount命令卸下文件系統(tǒng).并將安裝點(diǎn)目錄
的所有者改回root,存取許可改為755.
(9)系統(tǒng)目錄和文件
UNIX系統(tǒng)中有許多文件不允許用戶寫,如:/bin,/usr/bin,/usr/lbin,
/etc/passwd,/usr/lib/crontab,/unix,/etc/rc,/etc/inittab這樣一些文件
和目錄(大多數(shù)的系統(tǒng)目錄),可寫的目錄允許移動(dòng)文件,會(huì)引起安全問題.
系統(tǒng)管理員應(yīng)經(jīng)常檢查系統(tǒng)文件和目錄的許可權(quán)限和所有者.可做一個(gè)程
序根據(jù)系統(tǒng)提供的規(guī)則文件(在/etc/permlist文件中)所描述的文件所有者和
許可權(quán)規(guī)則檢查各文件.
(源程序清單將在今后發(fā)表)
注意:如果系統(tǒng)的安全管理不好,或系統(tǒng)是新安裝的,其安全程序不夠高,
可以用make方式在安全強(qiáng)的系統(tǒng)上運(yùn)行上述程序,將許可規(guī)則文件拷貝到新系
統(tǒng)來,再以設(shè)置方式在新系統(tǒng)上運(yùn)行上述程序,就可提高本系統(tǒng)的安全程序.但
要記住,兩個(gè)系統(tǒng)必須運(yùn)行相同的UNIX系統(tǒng)版本.
4.作為root運(yùn)行的程序
在UNIX系統(tǒng)中,有些程序由系統(tǒng)作為root進(jìn)程運(yùn)行.這些程序并不總是具有
SUID許可,因?yàn)槠洳簧俪绦騼H由root運(yùn)行,系統(tǒng)管理員需要清楚這些程序做什么,
以及這些程序還將運(yùn)行其它什么程序.
(1)啟動(dòng)系統(tǒng)
當(dāng)某些UNIX系統(tǒng)(如SCO UNIX/XENIX)啟動(dòng)時(shí),是以被稱為單用戶的方式運(yùn)
行,在這種方式中普通用戶不能登錄,唯有的進(jìn)程是init,swapper,以及一些由
系統(tǒng)管理員從控制臺(tái)運(yùn)行的進(jìn)程.UNIX系統(tǒng)的單用戶方式啟動(dòng),使系統(tǒng)管理員
能在允許普通用戶登錄以前,先檢查系統(tǒng)操作,確保系統(tǒng)一切正常,當(dāng)系統(tǒng)處于
單用戶方式時(shí),控制臺(tái)作為超級(jí)用戶,命令揭示是"#",有些UNIX系統(tǒng)不要確認(rèn)
超級(jí)用戶口令就認(rèn)可控制臺(tái)是root,給出#提示符.這就可能成為一個(gè)安全問題.
(2)init進(jìn)程
UNIX系統(tǒng)總是以某種方式或稱為某種級(jí)運(yùn)行,系統(tǒng)有若干種運(yùn)行級(jí),這些
運(yùn)行級(jí)由init進(jìn)程控制.
UNIX系統(tǒng)啟動(dòng)時(shí)以單用戶方式運(yùn)行,也叫1級(jí)或S級(jí).
對于其他用戶登錄進(jìn)入系統(tǒng),UNIX有一種多用戶運(yùn)行方式,也叫2級(jí).
init進(jìn)程控制系統(tǒng)運(yùn)行級(jí),它讀入文件/etc/inittab,該文件詳細(xì)地規(guī)定
了哪些進(jìn)程在哪一級(jí)運(yùn)行.當(dāng)root敲入init n(數(shù)字),系統(tǒng)就進(jìn)入n級(jí).init讀
推薦閱讀
- win10系統(tǒng)中電腦關(guān)機(jī)無反應(yīng)具體處理步驟
- SCO UNIX 根文件系統(tǒng)的清理
- Unix系統(tǒng)中按需定制用戶工作環(huán)境
- UNIX常用的系統(tǒng)調(diào)用
- Win10系統(tǒng)中瀏覽器提示已完畢但網(wǎng)頁上有錯(cuò)誤具體處理步驟
- win7系統(tǒng)中調(diào)節(jié)壁紙大小具體操作方法
- 程序員安全
- 5g信號(hào)塔輻射安全距離是多少
- 網(wǎng)絡(luò)安全
- 如何完成UNIX系統(tǒng)中大批量數(shù)據(jù)的自動(dòng)備份