眾所周知，根部用戶是KING，並且在Linux系統(tǒng)上發(fā)揮了無(wú)限特權(quán)。但是，非根系用戶僅限於基本任務(wù)。此外，僅授予Sudo用戶一定程度的根特權(quán)，因?yàn)楦脩粽J(rèn)為擬合了執(zhí)行特定提升任務(wù)的符合。

當(dāng)普通用戶無(wú)法控制地訪問(wèn)資源或無(wú)意中紮根時(shí)，就會(huì)出現(xiàn)問(wèn)題。這是一種嚴(yán)重的安全風(fēng)險(xiǎn)，可能導(dǎo)致違規(guī)，不希望的修改，並且在最壞的情況下，系統(tǒng)崩潰了。另一個(gè)潛在的風(fēng)險(xiǎn)是，何時(shí)文件的文件權(quán)限較低。例如，可以輕鬆修改或損壞的具有全局用戶的寫(xiě)入權(quán)限的引導(dǎo)文件，從而導(dǎo)致系統(tǒng)破裂。

[您可能還喜歡：保護(hù)數(shù)據(jù)和Linux的有用技巧]

儘管我們可以實(shí)施物理，網(wǎng)絡(luò)和數(shù)據(jù)安全性，但惡意用戶可以規(guī)避安全措施並利用此類安全漏洞。因此，應(yīng)認(rèn)真對(duì)待文件系統(tǒng)安全性。面對(duì)攻擊或惡意員工的內(nèi)部威脅，它提供了額外的防禦，而惡意員工的威脅不必在規(guī)避安全措施訪問(wèn)文件的情況下進(jìn)行繁重的工作。

在系統(tǒng)安全性中，我們將集中精力以下要點(diǎn)：

• 訪問(wèn)權(quán)限 - 用戶和組權(quán)限。
• 使用PAM模塊執(zhí)行密碼策略。

訪問(wèn)權(quán)限 - 用戶和組分離

您可能必須聽(tīng)說(shuō)Linux中的所有內(nèi)容都被視為文件。如果不是，那是一個(gè)過(guò)程。 Linux系統(tǒng)上的每個(gè)文件均由用戶和組用戶所有。它還具有3個(gè)用戶類別的文件權(quán)限：用戶（ U ），組（ G ）和其他（ O ）。在每個(gè)用戶類別的讀，寫(xiě)和執(zhí)行（ RWX ）中，權(quán)限表示。

 RWX RWX RWX
用戶組其他

如前所述，在Linux Basics部分中，您可以使用LS命令的長(zhǎng)格式查看文件權(quán)限，如圖所示。

 $ LS -L

只是回顧一下，權(quán)限通常由九個(gè)字符表示。前三個(gè)字符表示擁有文件的實(shí)際用戶的訪問(wèn)權(quán)限。第二組字符表示文件的組所有者的權(quán)限。最後，為其他或全局用戶的最後一組。這些字符在讀，寫(xiě)，執(zhí)行（ RWX ）順序中永遠(yuǎn)存在。

權(quán)限之後，我們擁有用戶和組所有權(quán)，其次是文件或目錄大小，修改日期以及文件名稱。

更改文件/目錄權(quán)限和所有權(quán)

可以根據(jù)認(rèn)為合適的方式修改文件和目錄的用戶權(quán)限。經(jīng)驗(yàn)法則是使用最低特權(quán)安全原則。簡(jiǎn)而言之，確保用戶獲得完成工作所需的最低訪問(wèn)權(quán)限或權(quán)限。

最低特權(quán)的原則僅限於某些角色，並這樣做，從而最大程度地限制了攻擊者通過(guò)利用低杠桿用戶帳戶來(lái)訪問(wèn)和修改關(guān)鍵數(shù)據(jù)的風(fēng)險(xiǎn)。如果攻擊者控制您的系統(tǒng)，它還可以減少攻擊表面並限制惡意軟件的傳播。

因此，如果用戶只需要查看文件或目錄的內(nèi)容，則不應(yīng)授予他們執(zhí)行或?qū)懭霗?quán)限。在非?；镜膶用嫔?，僅授予用戶完成任務(wù)所需的最低權(quán)限和所有權(quán)。我們已經(jīng)解決瞭如何使用基本Linux命令主題中的Chmod和Chown命令在文件/目錄上修改用戶權(quán)限和所有權(quán)。

粘性許可模式

為了使系統(tǒng)管理員更容易地管理權(quán)限，可以授予整個(gè)目錄的特殊權(quán)限或訪問(wèn)權(quán)限?？梢詰?yīng)用於限製文件或目錄的刪除和修改的特殊權(quán)限之一是粘性位。

粘得

在系統(tǒng)或網(wǎng)絡(luò)中的所有用戶可以訪問(wèn)共享目錄的情況下，某些用戶可以刪除或修改目錄內(nèi)的文件的潛在風(fēng)險(xiǎn)。如果您想維護(hù)目錄內(nèi)容的完整性，這是不希望的。這就是粘得的鑽頭進(jìn)來(lái)的地方。

粘性位是文件或整個(gè)目錄上設(shè)置的特殊文件權(quán)限。它僅授予該文件/目錄的所有者刪除或更改文件或目錄內(nèi)容的權(quán)限。沒(méi)有其他用戶可以刪除或修改文件/目錄。它具有t的符號(hào)值，數(shù)值為1000 。

要打開(kāi)目錄上的粘性位，請(qǐng)使用CHMOD命令如下：

 $ CHMOD T DITITORY_NAME

在下面的示例中，我們對(duì)稱為測(cè)試的目錄應(yīng)用了一個(gè)粘性位。在目錄的情況下，所有內(nèi)容將繼承粘性位權(quán)限。您可以使用LS -LD命令驗(yàn)證粘性位權(quán)限。請(qǐng)確保注意文件權(quán)限末尾的t符號(hào)。

 $ LS -LD測(cè)試

如果另一個(gè)用戶試圖刪除目錄或修改目錄內(nèi)的文件，則會(huì)以拒絕錯(cuò)誤的限制。

這就是Stick Bit File許可的要旨。

監(jiān)視SUID和SGID權(quán)限

SUID （ SET用戶ID ）是另一個(gè)特殊的文件權(quán)限，允許另一個(gè)普通用戶使用文件所有者的文件權(quán)限運(yùn)行文件。它通常用用戶的文件權(quán)限部分中的符號(hào)值s表示，而不是代表執(zhí)行權(quán)限的x表示。 SUID的數(shù)值為4000。

SGID （設(shè)置組ID）允許普通用戶繼承文件組所有者的組權(quán)限。您將在文件權(quán)限的組部分中看到一個(gè)s ，而不是用於執(zhí)行x 。 SGID的數(shù)值為2000 。

儘管有任何方便，因此SUID和SGID權(quán)限與安全風(fēng)險(xiǎn)相關(guān)，應(yīng)不惜一切代價(jià)避免。這是因?yàn)樗麄兪谟杵胀ㄓ脩舻奶厥馓貦?quán)。如果擺姿勢(shì)作為常規(guī)用戶的入侵者會(huì)遇到root用戶擁有的可執(zhí)行文件，其中設(shè)置了SUID位，則可以使用該漏洞並利用系統(tǒng)。

要在Linux中查找SUID位設(shè)置的所有文件，將查找命令作為root用戶運(yùn)行。

 $ find / -perm -4000 type -f

對(duì)於目錄運(yùn)行：

 $查找 / -Perm -4000類型-D

要找到所有使用SGID位設(shè)置運(yùn)行的文件：

 $ find / -perm -2000 type -f

目錄執(zhí)行：

 $ find / -perm -2000類型-D

要?jiǎng)h除文件上的SUID位，請(qǐng)按照顯示的CHMOD命令運(yùn)行：

 $ chmod us/path/to/file

要?jiǎng)h除文件上的SGID位執(zhí)行命令：

 $ CHMOD GS文件名/路徑/到/文件

使用PAM模塊執(zhí)行密碼策略

用戶設(shè)置弱密碼並不少見(jiàn)。一個(gè)很好的數(shù)字設(shè)置了簡(jiǎn)短，簡(jiǎn)單且易於猜測(cè)的密碼，以避免在登錄過(guò)程中忘記它們。儘管方便，但可以使用蠻力攻擊腳本輕鬆地破壞密碼。

PAM模塊（可插入身份驗(yàn)證模塊）是一個(gè)模塊，該模塊允許系統(tǒng)管理員在Linux系統(tǒng)上執(zhí)行密碼策略。為此，您需要由libpam_pwquality庫(kù)提供的pam_pwquality模塊。 PAM_PWQUALITY模塊檢查密碼的強(qiáng)度與一組規(guī)則和系統(tǒng)詞典，並指出弱密碼選擇。

要在Ubuntu 18.04及以後的版本上安裝PAM_PWQUALITY模塊，請(qǐng)運(yùn)行：

 $ sudo apt安裝libpam_pwquality

對(duì)於RHEL / CENTOS 8 ，運(yùn)行命令：

 $ sudo dnf安裝libpwquality

配置文件在以下位置找到：

• 在Debian-Systems - /etc/pam.d/common-password上
• 在Redhat Systems - /etc/pam.d/system-auth上

配置密碼策略

在開(kāi)始修改PAM配置文件之前，讓我們首先考慮收集有關(guān)密碼老化控件的見(jiàn)解。

密碼老化的詳細(xì)信息

這些可以在/etc/login.defs文件中找到。

該文件包含以下密鑰密碼控件：

• PASS_MAX_DAYS ：可以使用密碼的最大天數(shù)。
• PASS_MIN_DAYS ：最小數(shù)字。密碼更改之間允許的天數(shù)。
• PASS_WARN_AGE ：密碼到期之前給出警告的天數(shù)。

默認(rèn)值如下所示。

PASS_MAX_DAYS屬性限制了用戶可以使用其密碼的天數(shù)。當(dāng)達(dá)到此值或密碼到期時(shí)，用戶被迫更改其密碼以登錄系統(tǒng)。默認(rèn)情況下，此值設(shè)置為99999 ，轉(zhuǎn)化為273年。就安全性而言，這沒(méi)有多大意義，因?yàn)橛脩艨梢岳^續(xù)使用其整個(gè)生命的密碼。

您可以將其設(shè)置為有意義的價(jià)值，如圖所示30天。

 PASS_MAX_DAYS 30

經(jīng)過(guò)30天后，用戶將被迫將其密碼更改為另一個(gè)密碼。

PASS_MIN_DAYS屬性將用戶可以在更改密碼之前可以使用其最小持續(xù)時(shí)間。這是什麼意思？例如，如果此值設(shè)置為15天，則用戶將無(wú)法在15天之前再次更改密碼。

 PASS_MAX_DAYS 15

PASS_WARN_AGE屬性指定用戶將在其到期之前即將到期的任何天數(shù)。例如，如圖所示，您可以將其設(shè)置為7天。

 PASS_MAX_DAYS 7

注意：這些密碼控件與已有的帳戶無(wú)效。它們僅應(yīng)用於定義規(guī)則後創(chuàng)建的新帳戶。

使用PAM模塊設(shè)置密碼複雜性

在編輯/etc/pam.d/common-password文件之前，請(qǐng)創(chuàng)建一個(gè)備份副本。在此示例中，我們創(chuàng)建了commun-password.bak備份複製文件。

 $ sudo cp /etc/pam.d/common-password /etc/pam.d/common-password.bak

然後打開(kāi)文件。

 $ sudo vim /etc/pam.d/common-password 

找到下面顯示的線。

密碼要求pam_pwquality.so retry = 3

重試選項(xiàng)設(shè)置最多需要您在錯(cuò)誤之前輸入正確密碼的次數(shù)。默認(rèn)情況下，這將設(shè)置為3。這只是一個(gè)選項(xiàng)，我們將包括幾個(gè)選項(xiàng)。

將以下屬性添加到該行：

 minlen = 10 difok = 3 lcredit = -1 ucredit = -1 dcredit = -1 ocredit = -1 recubl_username 

讓我們充實(shí)這些屬性。

• MinLen = 10 ：設(shè)置密碼的最小可接受尺寸。在這種情況下，有10個(gè)字符。
• difok = 3 ：這是上一個(gè)密碼中存在的字符數(shù)量的最大數(shù)量。
• lcredit = -1 ：這是密碼中應(yīng)存在的小寫(xiě)字符的最小數(shù)量。
• ucredit = -1 ：是密碼中應(yīng)存在的小寫(xiě)字符的最大數(shù)量。
• dcredit = -1 ：密碼中應(yīng)定義的數(shù)字字符的最小數(shù)量。
• ocredit = -1 ：特殊字符的最小數(shù)量，例如 @，＃，並且應(yīng)在密碼中定義。
• reffect_username ：如果密碼是直接或反向格式的用戶名，則此選項(xiàng)會(huì)觸發(fā)密碼的拒絕。

如果您嘗試創(chuàng)建一個(gè)沒(méi)有密碼策略的新用戶，則將遇到如圖所示的錯(cuò)誤。

概括

總體而言，這是關(guān)於系統(tǒng)安全和安全基礎(chǔ)的主題。在整個(gè)章節(jié)中，我們闡明了您可以實(shí)施的基本安全措施，以保護(hù)Linux系統(tǒng)免受惡意用戶（例如黑客或心懷不滿的員工）的影響。

以上是LFCA：如何改善Linux系統(tǒng)安全性 - 第20部分的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！