Linux服务器运维安全策略分享之文件系统安全

今天小编要跟大家分享的文章是关于Linux服务器运维安全策略分享之文件系统安全。安全是IT行业一个老生常谈的话题了，从之前的“棱镜门”事件中折射出了很多安全问题，处理好信息安全问题已变得刻不容缓。因此做为运维人员，就必须了解一些安全运维准则，同时，要保护自己所负责的业务，首先要站在攻击者的角度思考问题，修补任何潜在的威胁和漏洞。下面来和小编一起看一看今天为大家介绍的第一部分内容文件系统安全。

文件系统安全

1、锁定系统重要文件

系统运维人员有时候可能会遇到通过root用户都不能修改或者删除某个文件的情况，产生这种情况的大部分原因可能是这个文件被锁定了。在Linux下锁定文件的命令是chattr，通过这个命令可以修改ext2、ext3、ext4文件系统下文件属性，但是这个命令必须有超级用户root来执行。和这个命令对应的命令是lsattr，这个命令用来查询文件属性。

对重要的文件进行加锁，虽然能够提高服务器的安全性，但是也会带来一些不便。

例如：在软件的安装、升级时可能需要去掉有关目录和文件的immutable属性和append-only属性，同时，对日志文件设置了append-only属性，可能会使日志轮换(logrotate)无法进行。因此，在使用chattr命令前，需要结合服务器的应用环境来权衡是否需要设置immutable属性和append-only属性。

另外，虽然通过chattr命令修改文件属性能够提高文件系统的安全性，但是它并不适合所有的目录。chattr命令不能保护/、/dev、/tmp、/var等目录。

根目录不能有不可修改属性，因为如果根目录具有不可修改属性，那么系统根本无法工作：

/dev在启动时，syslog需要删除并重新建立/dev/log套接字设备，如果设置了不可修改属性，那么可能出问题;

/tmp目录会有很多应用程序和系统程序需要在这个目录下建立临时文件，也不能设置不可修改属性;

/var是系统和程序的日志目录，如果设置为不可修改属性，那么系统写日志将无法进行，所以也不能通过chattr命令保护。

2、文件权限检查和修改

不正确的权限设置直接威胁着系统的安全，因此运维人员应该能及时发现这些不正确的权限设置，并立刻修正，防患于未然。下面列举几种查找系统不安全权限的方法。

(1)查找系统中任何用户都有写权限的文件或目录

查找文件：find / -type f -perm -2 -o -perm -20 |xargs ls -al查找目录：find / -type d -perm -2 -o -perm -20 |xargs ls –ld

(2)查找系统中所有含“s”位的程序

find / -type f -perm -4000 -o -perm -2000 -print | xargs ls –al

含有“s”位权限的程序对系统安全威胁很大，通过查找系统中所有具有“s”位权限的程序，可以把某些不必要的“s”位程序去掉，这样可以防止用户滥用权限或提升权限的可能性。

(3)检查系统中所有suid及sgid文件

find / -user root -perm -2000 -print -exec md5sum {} ;find / -user root -perm -4000 -print -exec md5sum {} ;

将检查的结果保存到文件中，可在以后的系统检查中作为参考。

(4)检查系统中没有属主的文件

find / -nouser -o –nogroup

没有属主的孤儿文件比较危险，往往成为黑客利用的工具，因此找到这些文件后，要么删除掉，要么修改文件的属主，使其处于安全状态。

3、/tmp、/var/tmp、/dev/shm安全设定

在Linux系统中，主要有两个目录或分区用来存放临时文件，分别是/tmp和/var/tmp。

存储临时文件的目录或分区有个共同点就是所有用户可读写、可执行，这就为系统留下了安全隐患。攻击者可以将病毒或者木马脚本放到临时文件的目录下进行信息收集或伪装，严重影响服务器的安全，此时，如果修改临时目录的读写执行权限，还有可能影响系统上应用程序的正常运行，因此，如果要兼顾两者，就需要对这两个目录或分区就行特殊的设置。

/dev/shm是Linux下的一个共享内存设备，在Linux启动的时候系统默认会加载/dev/shm，被加载的/dev/shm使用的是tmpfs文件系统，而tmpfs是一个内存文件系统，存储到tmpfs文件系统的数据会完全驻留在RAM中，这样通过/dev/shm就可以直接操控系统内存，这将非常危险，因此如何保证/dev/shm安全也至关重要。

对于/tmp的安全设置，需要看/tmp是一个独立磁盘分区，还是一个根分区下的文件夹，如果/tmp是一个独立的磁盘分区，那么设置非常简单，修改/etc/fstab文件中/tmp分区对应的挂载属性，加上nosuid、noexec、nodev三个选项即可，修改后的/tmp分区挂载属性类似如下：LABEL=/tmp /tmp ext3 rw,nosuid,noexec,nodev 0 0

其中，nosuid、noexec、nodev选项，表示不允许任何suid程序，并且在这个分区不能执行任何脚本等程序，并且不存在设备文件。

在挂载属性设置完成后，重新挂载/tmp分区，保证设置生效。

对于/var/tmp，如果是独立分区，安装/tmp的设置方法是修改/etc/fstab文件即可;如果是/var分区下的一个目录，那么可以将/var/tmp目录下所有数据移动到/tmp分区下，然后在/var下做一个指向/tmp的软连接即可。也就是执行如下操作：

[root@server ~]# mv /var/tmp/* /tmp[root@server ~]# ln -s /tmp /var/tmp

如果/tmp是根目录下的一个目录，那么设置稍微复杂，可以通过创建一个loopback文件系统来利用Linux内核的loopback特性将文件系统挂载到/tmp下，然后在挂载时指定限制加载选项即可。一个简单的操作示例如下：

[root@server ~]# dd if=/dev/zero of=/dev/tmpfs bs=1M count=10000[root@server ~]# mke2fs -j /dev/tmpfs[root@server ~]# cp -av /tmp /tmp.old[root@server ~]# mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp[root@server ~]# chmod 1777 /tmp[root@server ~]# mv -f /tmp.old/* /tmp/[root@server ~]# rm -rf /tmp.old

最后，编辑/etc/fstab，添加如下内容，以便系统在启动时自动加载loopback文件系统：

/dev/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0

以上就是小编今天为大家分享的关于Linux服务器运维安全策略分享之文件系统安全的文章，希望本篇文章能够对正在从事Linux运维工作的小伙伴们有所帮助，想要了解更多Linux相关知识记得关注达内Linux培训官网，最后祝愿小伙伴们工作顺利，成为一名优秀的Linux运维工程师。

来自：CU技术社区(微信号：ChinaUnix2013)

本文编辑整理自【微学堂】第八期活动实录

【免责声明：本文图片及文字信息均由小编转载自网络，旨在分享提供阅读，版权归原作者所有，如有侵权请联系我们进行删除。】