网络管理- 在 UNIX 系统上保护文件级机密性的过程中,最重要的一点是尽可能限制文件访问许可,而不影响系统的必要任务,同时不干扰用户按照必要的方法访问文件。
一般来说,UNIX 和 LINUX 系统管理员需要确保文件的所有者(Owner)对文件有完全的控制权,并且默认不会授予任何用户访问权限。任何其他。这样做将减少管理系统时遇到的问题,而无需执行更复杂的任务来自动化授予新文件默认许可证的过程。
配置主目录的默认许可
首先,当使用 adduser 命令创建用户时,可以授予用户主目录的权限。例如,在 FreeBSD 中,我们可以使用带有 adduser 命令的 -M 选项将初始许可证授予新用户的主目录。因此,如果你想创建一个主目录权限设置为 750 的用户帐户,我们需要运行以下命令:
当授予用户主目录的默认许可时,该用户的主目录对于所有没有root权限的帐户无论浏览还是查看都将是不可侵犯的,除非该帐户拥有该目录并且该帐户属于默认组该帐户的。此外,此默认许可证不允许删除此主目录,甚至不允许删除默认许可用户帐户组中的其他帐户。创建主目录后,我们仍然需要为该帐户创建的其他文件自动执行默认许可过程。
配置文件许可证的默认掩码
文件创建掩码 (FCM) 可以通过使用一组有限的默认文件权限来帮助自动化文件级安全策略创建新文件时。该命令常用于 UNIX 和 UNIX 系统中的 FCM,umask(用户掩码的缩写)。在 POSIX 标准操作系统中,每个进程都有一个 用户掩码 来限制它创建的文件的模式。 umask 命令将指定未经授权的权限。 UNIX 风格的系统也使用 umask 命令来安装实用程序的 umask。
可以改进此命令以影响用户登录实用程序上下文中的任何操作过程。我们可以通过在系统的默认实用程序配置文件中指定默认 umask 来将此 umask 应用于系统上的每个用户帐户。例如,在大多数 Linux 发行版中,bash 是默认实用程序,bash 配置文件将是 /etc/profile 或 /等/bashrc 。对于 BSD Unix 系统,默认实用程序是 C 实用程序组的一部分,例如 csh 和 tcsh ,这些实用程序的配置文件将是 /etc/login.conf 。
在 FreeBSD 中,默认情况下,此配置文件中对应的行是:
更适合安全目的的 umask 将是 umask,它有助于阻止价值超过 750 的许可证组证书,在 etc/login.conf 文件中通过将 umask 的值更改为进行配置:
默认许可策略
应用于每个系统的默认许可策略(默认权限策略)将取决于每个用户的需求。正如文章 了解 UNIX 中的基本文件访问许可 中所述,有一个简单但非常有效的规则来增强文件级访问安全性:
最重要的方面UNIX系统上的文件级安全过程是在不影响系统必要任务的情况下,尽可能限制文件访问许可,不妨碍按照必要的方法访问文件。
一般来说,UNIX 和 LINUX 系统管理员需要确保文件的所有者(Owner)对文件有完全的控制权,并且默认不会授予任何用户访问权限。任何其他。这样做将减少管理系统时遇到的问题,而无需执行更复杂的任务来自动化授予新文件默认许可证的过程。
配置主目录的默认许可
首先,当使用 adduser 命令创建用户时,可以授予用户主目录的权限。例如,在 FreeBSD 中,我们可以使用带有 adduser 命令的 -M 选项将初始许可证授予新用户的主目录。因此,如果你想创建一个主目录权限设置为 750 的用户帐户,我们需要运行以下命令:
adduser –M 750在 Ubuntu Linux 中,要颁发相同的许可证,我们必须编辑 /etc/adduser.conf 文件中的 DIR_MODE 行,然后该行将更改为:
DIR_MODE=0750/etc/adduser.conf 文件可用于通过 FreeBSD 系统和 Ubuntu Linux 系统上的管理工具为用户帐户配置主目录的默认许可证,但是 -Madduser 命令的 strong> 选项将允许在运行 adduser 命令时覆盖 /etc/adduser.conf 中的默认许可证。
当授予用户主目录的默认许可时,该用户的主目录对于所有没有root权限的帐户无论浏览还是查看都将是不可侵犯的,除非该帐户拥有该目录并且该帐户属于默认组该帐户的。此外,此默认许可证不允许删除此主目录,甚至不允许删除默认许可用户帐户组中的其他帐户。创建主目录后,我们仍然需要为该帐户创建的其他文件自动执行默认许可过程。
配置文件许可证的默认掩码
文件创建掩码 (FCM) 可以通过使用一组有限的默认文件权限来帮助自动化文件级安全策略创建新文件时。该命令常用于 UNIX 和 UNIX 系统中的 FCM,umask(用户掩码的缩写)。在 POSIX 标准操作系统中,每个进程都有一个 用户掩码 来限制它创建的文件的模式。 umask 命令将指定未经授权的权限。 UNIX 风格的系统也使用 umask 命令来安装实用程序的 umask。
可以改进此命令以影响用户登录实用程序上下文中的任何操作过程。我们可以通过在系统的默认实用程序配置文件中指定默认 umask 来将此 umask 应用于系统上的每个用户帐户。例如,在大多数 Linux 发行版中,bash 是默认实用程序,bash 配置文件将是 /etc/profile 或 /等/bashrc 。对于 BSD Unix 系统,默认实用程序是 C 实用程序组的一部分,例如 csh 和 tcsh ,这些实用程序的配置文件将是 /etc/login.conf 。
在 FreeBSD 中,默认情况下,此配置文件中对应的行是:
: umask=022:因为这是阻止一组设备许可证的掩码,所以我们需要将它们视为从文件可能具有的默认许可证中排除的许可证。例如,当使用 umask 的进程尝试创建具有 775 许可证的文件时,它将以 755 许可证组完成,因为许可证的值为 2(写-写许可证)已被 Group 对象阻止。作为默认文件访问许可证。由于目录之外的文件通常不是可执行文件,但是,通过创建安装 umask 022 来分配许可证 644,始终会忽略许可证 1(执行) strong> 创建时指向目录外的文件,而目录中的文件目录将使用许可证组 755 创建。
更适合安全目的的 umask 将是 umask,它有助于阻止价值超过 750 的许可证组证书,在 etc/login.conf 文件中通过将 umask 的值更改为进行配置:
: umask=027:同时,在 Ubuntu Linux 系统上,etc/profile 中 umask 的默认值为:
umask 022要自动创建文件许可以防止它们超过 750,我们需要将此行更改为:
umask 027用户也可以为文件许可证安装不同的值。例如,如果用户创建了一个文件,然后想要授予 777 许可,那么 chmod 命令可以使用以下语法:
chmod 777 [name_file]此实用程序的默认 umask 配置不会阻止用户对许可证进行更改,但它只会在创建文件时为特定许可证组设置默认值。
默认许可策略
应用于每个系统的默认许可策略(默认权限策略)将取决于每个用户的需求。正如文章 了解 UNIX 中的基本文件访问许可 中所述,有一个简单但非常有效的规则来增强文件级访问安全性:
最重要的方面UNIX系统上的文件级安全过程是在不影响系统必要任务的情况下,尽可能限制文件访问许可,不妨碍按照必要的方法访问文件。
评论