Linux 系統(tǒng)中常常會(huì)因?yàn)樵O(shè)置了不正確的文件或目錄權(quán)限導(dǎo)致出現(xiàn)系統(tǒng)安全問題。因此在日常的系統(tǒng)維護(hù)中，應(yīng)該能做到及時(shí)發(fā)現(xiàn)不正確的文件權(quán)限設(shè)置并能及時(shí)修正，防患于未然，這里介紹幾種用安全加固的方法：

1. 查找系統(tǒng)中任何用戶都擁有寫入權(quán)限的文件或者目錄，并保存在文件中用于檢查。

find  /  - type f  –perm  -2  -o –perm -20 > wmodfiles.txt
find  /  - type d  –perm  -2  -o –perm -20 > wmoddir.txt

2. 查找系統(tǒng)中沒有屬主的文件

find /  -nouser –o –nogroup > orphan.txt

這種無(wú)屬主的文件對(duì)于系統(tǒng)的安全也能造成一定的威脅，有時(shí)候也會(huì)成為入侵者的工具，建議發(fā)現(xiàn)之后，要么修改其屬主信息，要么刪除，?免后患。

3. 查找系統(tǒng)中設(shè)置了 S 位的程序

find /  -type f  -perm -4000 –o –perm -2000 > smod.txt

含有 S 位權(quán)限的程序?qū)ο到y(tǒng)的威脅很大，可以把某些沒必要使用 S 位權(quán)限的應(yīng)用程序去掉，以防用戶權(quán)限的濫用。

 4.利用 chatter 命令來(lái)鎖定系統(tǒng)的重要文件。

指令使用格式：chatter [-RV] [-v version] [mode] files…

主要參數(shù)說(shuō)明：

• -R：遞歸的修改一個(gè)目錄下的所有文件以及相應(yīng)的子目錄。

• -V：顯示修改內(nèi)容，并在屏幕上打印輸出。

• Mode：部分是用來(lái)設(shè)置或修改文件屬性的，一般常用的參數(shù)是:

• +：在原屬性上追加屬性。

• -：在原屬性上移除屬性。

• a:  在設(shè)定該參數(shù)后只能向文件中添加數(shù)據(jù)而不能刪除文件，常用于服務(wù)器的系統(tǒng)日志安全（只有root用戶才能設(shè)定該屬性）。

• i：在設(shè)定該參數(shù)后該文件不能被寫入數(shù)據(jù)或者被修改，刪除，重命名，設(shè)定連接等。

在基本了解該命令的用法后，可以對(duì)系統(tǒng)中的常見文件設(shè)定安全屬性了，示例：

 另外，用戶也可以對(duì)常見目錄，例如/bin、/boot、/lib等目錄加上 i 屬性，對(duì)系統(tǒng)常用的日志文件例如 /var/log/messages 和 /var/log/wtmp 也可以加上 a 屬性。

雖然通過對(duì)重要文件進(jìn)行加鎖的方式能讓服務(wù)器的安全性提高，但是在運(yùn)維管理上也會(huì)出現(xiàn)一些不方便，例如修改密碼時(shí)因?yàn)?nbsp;/etc/shadow 文件有 i 屬性，會(huì)導(dǎo)致密碼修改失敗。同時(shí)對(duì)日志文件加入 a 屬性，可能會(huì)使得日志輪換功能 logrotate 的失敗?另外，在軟件的安裝和升級(jí)時(shí)可能需要去掉有關(guān)目錄和文件的 i 屬性和 a 屬性。

所以，建議用戶使用 chattr 命令鎖定系統(tǒng)文件時(shí)，必須要結(jié)合服務(wù)器的應(yīng)用環(huán)境來(lái)決定是否應(yīng)用 a 屬性和 i 屬性。