欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Linux系统加强安全,怎样舒适的操控操作系统的权限

来源:本站整理 作者:佚名 时间:2017-09-18 TAG: 我要投稿

在平常运维中,经常会遭到权限的困扰,给多了就违反了最小权限准则,形成体系呈现一些网安隐患,给少了营业又无奈失常停止,上面咱们来看看若何优雅的节制体系权限,包管体系网安。
0x01改动应用版本信息
改动应用版本信息固然和权限有关,但对应用能够起到必定的掩护感化,本节咱们以tengine为例,来先容若何改动应用的版本信息。别的apache等办法相似。
1、改动设置装备摆设文件暗藏版本信息
设置装备摆设文件nginx.conf中http段增加server_tokens off,但此办法只能暗藏版本号,办事信息照样能够看到的。
设置装备摆设如下图所示。

2、要想改动的完全,能够通过改动源码停止暗藏,解紧缩tar包,改动$BASE_DIR/src/core/nginx.h文件。
改动前:

改动后:

编译进程这里不做先容,编译后运转后果如下图所示,能够看到http头中办事和版本信息都曾经改动。

0x02构建受限的shell环境
有时候咱们想限定用户登录后的行动,让用户在一个受限的shell环境操纵,这里咱们先容若何应用lshell来疾速完成,lshell供给了一个针对每一个用户可设置装备摆设的限定性shell,设置装备摆设文件异常的简略,能够很容易的严厉限定用户能够拜访哪些目次,能够应用哪些敕令,同时能够对不法操纵停止日记记载。
装置进程不做先容,yum装置后设置装备摆设文件门路为/etc/lshell.conf。 主要的设置装备摆设项有logpath:设置装备摆设日记门路、allowed:容许执行的敕令、forbidden:制止应用的字符或许敕令、path:只容许拜访的门路、env_vars:环境变量。
设置装备摆设好后,改动你想要限定的用户shell,
1
chsh -s /usr/bin/lshell $USER_NAME
,或许vipw间接改动。日记目次必要手工创立并赋权。

设置装备摆设如上图所示,只容许应用的敕令为:ls、echo、cd、ll,只容许拜访的门路为/home/tomcat/、/usr、/etc、/tmp、/opt。 在受限shell下停止操纵,能够看到不容许的操纵被制止。

日记记载

应用场景能够有许多,人人依据本身的现实营业环境机动应用。
留意:万万不要把bash、sh等敕令容许,一旦容许这些敕令,该用户就能够逃逸出lshell的受限环境了。
0x03 linux ACL
linux默许的3种根本权限(rwx)和3种特别权限 (suid,sgid,sticky)在平凡环境下做恰当调剂便可,然则假如呈现多个组多个用户环境下对某些文件或目次做权限设置装备摆设就会发明不敷分派,以是为了办理此类环境linux内核呈现了acl(拜访节制列表)模块来停止分层治理。
应用acl前要装置acl和libacl,检查体系能否支撑acl,Linux默许是支撑的。
1
dumpe2fs -h /dev/sda1|grep acl(依据本身磁盘环境变动)

开启分区的acl权限:
暂时开启:mount –o remount,acl 磁盘分区,永远开启的话必要改动/etc/fstab

场景:某文件只容许属主和别的用户A拜访(只读),别的用户都不容许拜访。
假定A用户名为tomcat,改文件只容许属主root和别的用户tomcat拜访(只读) 设置acl前,tomcat用户读取操纵被回绝。


设置acl后,tomcat用户能够读取,user1用户被回绝。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载