Linux安全應用指導培訓資料

1、Linux安全應用指導內部公開 TIME yyyy-M-d 2022-9-d華為保密信息,未經授權禁止擴散第頁華為技術術有限公公司內部部技術指指導DKBAA 83328-20115.111Linuux安全全應用指指導華為技術術有限公公司Huawwei Tecchnoologgiess Coo., Ltdd.版權所有有 侵侵權必究究All rigghtss reeserrvedd修訂聲明明Revvisiion decclarratiion本指導擬擬制與解解釋部門門：網絡安全全能力中中心本指導的的相關系系列規(guī)范范或文件件：相關國際際規(guī)范或或文件一一致性：替代或作作廢的其其它規(guī)范范或文件件：無相關規(guī)

2、范范或文件件的相互互關系： 無目錄TOC o 1-3 h z u HYPERLINK l _Toc435780387 簡介 PAGEREF _Toc435780387 h 6 HYPERLINK l _Toc435780388 使用對象象 PAGEREF _Toc435780388 h 6 HYPERLINK l _Toc435780389 適用范圍圍 PAGEREF _Toc435780389 h 6 HYPERLINK l _Toc435780390 指導解釋釋 PAGEREF _Toc435780390 h 6 HYPERLINK l _Toc435780391 用詞約定定 PAGERE

3、F _Toc435780391 h 6 HYPERLINK l _Toc435780392 術語解釋釋 PAGEREF _Toc435780392 h 7 HYPERLINK l _Toc435780393 1權限管管理 PAGEREF _Toc435780393 h 8 HYPERLINK l _Toc435780394 1.1權權限最小小化 PAGEREF _Toc435780394 h 8 HYPERLINK l _Toc435780395 1.1.1 禁止直直接使用用rooot賬號號登錄LLinuux系統(tǒng)統(tǒng) PAGEREF _Toc435780395 h 8 HYPERLINK l _

4、Toc435780396 1.1.2 除有明明確特權權需求，應應用程序序應以非非rooot賬號號運行 PAGEREF _Toc435780396 h 99 HYPERLINK l _Toc435780397 1.1.3 采用不不同權限限的帳號號運行不不同的應應用并對對帳號進進行權限限分離 PAGEREF _Toc435780397 h 99 HYPERLINK l _Toc435780398 1.1.4 在運行行時有特特權需求求的程序序，在特特權操作作完后如如后續(xù)無無特權需需求，必必須使用用settuidd放棄特特權 PAGEREF _Toc435780398 h 100 HYPERLINK

5、l _Toc435780399 1.1.5 使用suudo機機制代替替以rooot帳帳號登錄錄運行特特權程序序的方式式。 PAGEREF _Toc435780399 h 111 HYPERLINK l _Toc435780400 1.1.6 應對允允許使用用su到rooot帳號號的用戶戶進行明明確授權權，非授授權用戶戶不能切切換到rroott PAGEREF _Toc435780400 h 11 HYPERLINK l _Toc435780401 1.1.7 使用POOSIXX Caapabbiliitiees功能能避免直直接使用用rooot權限限 PAGEREF _Toc435780401

6、h 12 HYPERLINK l _Toc435780402 1.2文文件和目目錄權限限 PAGEREF _Toc435780402 h 14 HYPERLINK l _Toc435780403 1.2.1系統(tǒng)統(tǒng)中禁止止有無主主文件存存在 PAGEREF _Toc435780403 h 144 HYPERLINK l _Toc435780404 1.2.2 除有明明確需求求，應刪刪除文件件不必要要的seetuiid和settgidd位 PAGEREF _Toc435780404 h 14 HYPERLINK l _Toc435780405 1.2.3應為為系統(tǒng)用用戶設置置缺省的的umaask值

7、值 PAGEREF _Toc435780405 h 15 HYPERLINK l _Toc435780406 1.2.4 使用特特殊屬性性位Sttickky位對對共享目目錄權限限進行控控制 PAGEREF _Toc435780406 h 166 HYPERLINK l _Toc435780407 1.2.5 利用特特殊文件件屬性AAppeend-onlly位保保護系統(tǒng)統(tǒng)命令行行歷史日日志文件件，防止止內容被被篡改 PAGEREF _Toc435780407 h 116 HYPERLINK l _Toc435780408 2訪問控控制 PAGEREF _Toc435780408 h 188 HY

8、PERLINK l _Toc435780409 2.1自自主訪問問控制 PAGEREF _Toc435780409 h 118 HYPERLINK l _Toc435780410 2.1.1 使用POOSIXX ACCL進行行更細粒粒度的訪訪問控制制 PAGEREF _Toc435780410 h 18 HYPERLINK l _Toc435780411 2.2強強制訪問問控制 PAGEREF _Toc435780411 h 220 HYPERLINK l _Toc435780412 2.2.1 Linnux系系統(tǒng)上應應安裝強強制訪問問控制系系統(tǒng)作為為應急的的安全訪訪問控制制手段 PAGERE

9、F _Toc435780412 h 220 HYPERLINK l _Toc435780413 3記錄和和審計 PAGEREF _Toc435780413 h 222 HYPERLINK l _Toc435780415 3.1監(jiān)監(jiān)測、記記錄和審審計 PAGEREF _Toc435780415 h 222 HYPERLINK l _Toc435780416 3.1.1啟用用inootiffy監(jiān)控控機制，以以文件系系統(tǒng)事件件進行安安全監(jiān)控控 PAGEREF _Toc435780416 h 22 HYPERLINK l _Toc435780417 3.1.2使用用Audditdd組件對對系統(tǒng)中中的重

10、要要目錄或或文件進進行審計計 PAGEREF _Toc435780417 h 24 HYPERLINK l _Toc435780418 4認證 PAGEREF _Toc435780418 h 226 HYPERLINK l _Toc435780419 4.1口口令和賬賬號 PAGEREF _Toc435780419 h 266 HYPERLINK l _Toc435780420 4.1.1 使用shhadoow套件件對系統(tǒng)統(tǒng)賬號口口令進行行分離保保護 PAGEREF _Toc435780420 h 266 HYPERLINK l _Toc435780421 4.1.2Liinuxx系統(tǒng)必必須使

11、用用shaadoww套件對對當前暫暫時不使使用的賬賬號進行行鎖定或或登錄限限制 PAGEREF _Toc435780421 h 277 HYPERLINK l _Toc435780422 4.1.3使用用shaadoww套件對對系統(tǒng)口口令的時時效進行行限制 PAGEREF _Toc435780422 h 229 HYPERLINK l _Toc435780423 4.2可可插拔認認證模塊塊（PAAM） PAGEREF _Toc435780423 h 29 HYPERLINK l _Toc435780424 4.2.1使用用PAMM模塊增增強認證證管理 PAGEREF _Toc435780424

12、 h 229 HYPERLINK l _Toc435780425 5文件系系統(tǒng)保護護 PAGEREF _Toc435780425 h 31 HYPERLINK l _Toc435780428 5.1日日志文件件保護 PAGEREF _Toc435780428 h 331 HYPERLINK l _Toc435780429 5.1.1 應將操操作系統(tǒng)統(tǒng)日志發(fā)發(fā)送至外外部服務務器單獨獨存儲，確確保日志志不被篡篡改 PAGEREF _Toc435780429 h 311 HYPERLINK l _Toc435780430 5.2文文件系統(tǒng)統(tǒng)加密 PAGEREF _Toc435780430 h 331

13、 HYPERLINK l _Toc435780431 5.2.1對含含有重要要信息的的文件目目錄或分分區(qū)進行行加密處處理 PAGEREF _Toc435780431 h 311 HYPERLINK l _Toc435780432 5.3分分區(qū)和掛掛載 PAGEREF _Toc435780432 h 322 HYPERLINK l _Toc435780433 5.3.1對于于系統(tǒng)中中的重要要目錄必必須根據(jù)據(jù)存儲目目的不同同進行分分區(qū)隔離離 PAGEREF _Toc435780433 h 32 HYPERLINK l _Toc435780434 5.3.2使用用fsttab對對外接、日志存存儲分區(qū)

14、區(qū)進行訪訪問控制制。 PAGEREF _Toc435780434 h 322 HYPERLINK l _Toc435780435 5.3.3禁用用自動工工具對移移動存儲儲設備進進行掛載載 PAGEREF _Toc435780435 h 33 HYPERLINK l _Toc435780436 6網絡防防護 PAGEREF _Toc435780436 h 344 HYPERLINK l _Toc435780437 6.1網網絡防護護能力 PAGEREF _Toc435780437 h 334 HYPERLINK l _Toc435780438 6.1.1 使用syyscttl工具具增強系系統(tǒng)網絡

15、絡防護能能力 PAGEREF _Toc435780438 h 344 HYPERLINK l _Toc435780439 6.1.2 使用ipptabbless對系統(tǒng)統(tǒng)中不使使用的端端口進行行限制 PAGEREF _Toc435780439 h 335 HYPERLINK l _Toc435780440 6.2限限制網絡絡服務 PAGEREF _Toc435780440 h 335 HYPERLINK l _Toc435780441 6.2.1 遠程訪訪問需使使用SSSH取代代tellnett PAGEREF _Toc435780441 h 35 HYPERLINK l _Toc4357804

16、42 6.2.2 系統(tǒng)中中不應安安裝不安安全的傳傳統(tǒng)網絡絡服務 PAGEREF _Toc435780442 h 335 HYPERLINK l _Toc435780443 7漏洞攻攻擊防護護 PAGEREF _Toc435780443 h 37 HYPERLINK l _Toc435780444 7.1地地址隨機機化 PAGEREF _Toc435780444 h 377 HYPERLINK l _Toc435780445 7.1.1 使用Liinuxx自帶的的ASLLR功能能（地址址空間布布局隨機機化）增增強漏洞洞攻擊防防護能力力 PAGEREF _Toc435780445 h 37 HYP

17、ERLINK l _Toc435780446 7.2數(shù)數(shù)據(jù)執(zhí)行行防護 PAGEREF _Toc435780446 h 337 HYPERLINK l _Toc435780447 7.2.1 系統(tǒng)必必須使用用DEPP防護手手段提升升漏洞攻攻擊防護護能力 PAGEREF _Toc435780447 h 337 HYPERLINK l _Toc435780448 7.2.2 使用棧棧保護機機制 PAGEREF _Toc435780448 h 388 HYPERLINK l _Toc435780449 7.3增增強性安安全防護護 PAGEREF _Toc435780449 h 39 HYPERLINK

18、 l _Toc435780450 7.3.1 使用Grrseccuriity增增強Liinuxx系統(tǒng)的的安全防防護能力力 PAGEREF _Toc435780450 h 39 HYPERLINK l _Toc435780451 7.3.2 使用PaaX提升升系統(tǒng)攻攻擊防護護能力 PAGEREF _Toc435780451 h 440 HYPERLINK l _Toc435780452 8完整性性保護 PAGEREF _Toc435780452 h 443 HYPERLINK l _Toc435780453 8.1文文件完整整性檢查查 PAGEREF _Toc435780453 h 43 HYP

19、ERLINK l _Toc435780454 8.1.1 使用IMMA工具具對系統(tǒng)統(tǒng)文件的的完整性性進行檢檢查 PAGEREF _Toc435780454 h 433 HYPERLINK l _Toc435780455 9安全隔隔離和容容器 PAGEREF _Toc435780455 h 444 HYPERLINK l _Toc435780456 9.1安安全隔離離 PAGEREF _Toc435780456 h 44 HYPERLINK l _Toc435780457 9.1.1 對于開開放給第第三方的的sheell環(huán)環(huán)境，應應使用隔隔離技術術對其可可訪問的的系統(tǒng)資資源進行行隔離 PAGER

20、EF _Toc435780457 h 444 HYPERLINK l _Toc435780458 9.1.2 對于系系統(tǒng)中運運行的第第三方應應用，需需使用控控制組或或容器等等技術手手段將其其于系統(tǒng)統(tǒng)關鍵資資源進行行隔離。 PAGEREF _Toc435780458 h 46 HYPERLINK l _Toc435780459 10其他他 PAGEREF _Toc435780459 h 47 HYPERLINK l _Toc435780460 10.11額外系系統(tǒng)功能能限制 PAGEREF _Toc435780460 h 447 HYPERLINK l _Toc435780461 10.11.1

21、 對corre ddumpp功能的的使用進進行限制制 PAGEREF _Toc435780461 h 47 HYPERLINK l _Toc435780462 10.11.2 關閉閉SyssRq鍵鍵的使用用 PAGEREF _Toc435780462 h 47 HYPERLINK l _Toc435780463 10.11.3 應對對boootlooadeer開啟啟引導裝裝載密碼碼 PAGEREF _Toc435780463 h 48 HYPERLINK l _Toc435780464 10.11.4 使用用uliimitt工具限限制用戶戶可以打打開文件件個數(shù) PAGEREF _Toc4357

22、80464 h 448 HYPERLINK l _Toc435780465 11設計計樣例 PAGEREF _Toc435780465 h 550簡介隨著公司司業(yè)務發(fā)發(fā)展，越越來越多多的產品品被公眾眾所熟知知，并成成為安全全研究組組織的研研究對象象、黑客客的漏洞洞挖掘目目標，產產品的安安全問題題不可小小視。公司內內許多產產品使用用Linnux系系統(tǒng)作為為軟件開開發(fā)和安安裝的基基礎，由由于對LLinuux系統(tǒng)統(tǒng)中編譯譯器、軟軟件服務務、系統(tǒng)統(tǒng)自身防防護等方方面缺乏乏足夠的的了解，使使產品存存在許多多安全漏漏洞，產產品也因因此遭受受黑客的的攻擊。Liinuxx安全應應用指導導結合合Linnux系系

23、統(tǒng)中常常用的安安全機制制安全特特性同時時結合業(yè)業(yè)界最佳佳實踐，針針對業(yè)內內普遍的的Linnux系系統(tǒng)漏洞洞和軟件件漏洞給給出指導導方法，幫幫助產品品開發(fā)團團隊減少少由于設設計過程程中未引引入安全全機制或或軟件加加固方法法而引入入安全風風險。本指導的的制訂目目的是希希望能指指導讀者者選擇正正確的安安全機制制和軟件件加固方方法，以以減少安安全漏洞洞的產生生。指導導涵蓋LLinuux系統(tǒng)統(tǒng)中的：權限管管理、訪訪問控制制、認證證、審計計、文件件系統(tǒng)保保護、漏漏洞攻擊擊防護等等內容。使用對象象本指導的的讀者及及使用對對象主要要是產品品涉及LLinuux系統(tǒng)統(tǒng)的需求求分析人人員、設設計人員員、開發(fā)發(fā)人員、

24、測試人人員等。適用范圍圍本指導適適合于公公司涉及及使用Liinuxx操作系系統(tǒng)的產品（嵌嵌入式產產品除外外），如如使用歐歐拉seerveer OOS、ssusee 等產產品。指導解釋釋Linuux安全全應用指指導目的的在于通通過結合合業(yè)內的的最佳實實踐，對對在Liinuxx系統(tǒng)下下合理的的使用安安全機制制和安全全特性來來解決產產品安全全問題和和增強系系統(tǒng)安全全能力提提出要求求。其目的在在于以下下幾點：充分發(fā)揮揮Linnux已已有的安安全能力力。將Linnux社社區(qū)中普普遍使用用的安全全組件及及解決方方案吸納納進來，合合理的應應用到系系統(tǒng)中，增增強系統(tǒng)統(tǒng)的安全全能力。為產品線線安全人人員解決決L

25、innux安安全問題題賦能。用詞約定定規(guī)則：編編程時必必須遵守守的約定定。建議：編編程時必必須加以以考慮的的約定。說明：對對此規(guī)則則/建議進進行必要要的解釋釋。示例：對對此規(guī)則則/建議從從正面給給出例子子。術語解釋釋名詞解釋MAC強制訪問問控制（MManddatoory Acccesss CoontrrolMAAC），用用于將系系統(tǒng)中的的信息分分密級和和類進行行管理，以以保證每每個用戶戶只能訪訪問到那那些被標標明可以以由他訪訪問的信信息的一一種訪問問約束機機制。DAC自主訪問問控制（DDisccrettionnaryy Acccesss CConttroll，DAAC）是是這樣的的一種控控制方

26、式式，由客客體的屬屬主對自自己的客客體進行行管理，由由屬主自自己決定定是否將將自己的的客體訪訪問權或或部分訪訪問權授授予其他他主體，這這種控制制方式是是自主的的。容器容器是一一種內核核虛擬化化技術，可可以提供供輕量級級的虛擬擬化，以以便隔離離進程和和資源，而而且不需需要提供供指令解解釋機制制以及全全虛擬化化的其他他復雜性性。PAMPAM（PPlugggabble Autthennticcatiion Moddulees ）是是由Suun提出出的一種種認證機機制。它它通過提提供一些些動態(tài)鏈鏈接庫和和一套統(tǒng)統(tǒng)一的AAPI，將將系統(tǒng)提提供的服服務 和和該服務務的認證證方式分分開，使使得系統(tǒng)統(tǒng)管理員可

27、以靈靈活地根根據(jù)需要要給不同同的服務務配置不不同的認認證方式式而無需需更改服服務程序序，同時時也便于于向系 統(tǒng)中添添加新的的認證手手段。ASLRRASLRR（Adddreess spaace layyoutt raandoomizzatiion）是是一種針針對緩沖沖區(qū)溢出出的安全全保護技技術，通通過對堆堆、棧、共享庫庫映射等等線性區(qū)區(qū)布局的的隨機化化，通過過增加攻攻擊者預預測目的的地址的的難度，防防止攻擊擊者直接接定位攻攻擊代碼碼位置，達達到阻止止溢出攻攻擊的目目的。DEPDEP (Datta EExeccutiion Preevenntioon) 是一套套軟硬件件技術，能能夠在內內存上執(zhí)執(zhí)行

28、額外外檢查以以幫助防防止在系系統(tǒng)上運運行惡意意代碼。ACL訪問控制制列表（AAcceess Conntrool LListt，ACCL）。權限管理理權限最小小化1.1.1 禁止直直接使用用rooot賬號號登錄LLinuux系統(tǒng)統(tǒng)說明：roott是Liinuxx系統(tǒng)中中的超級級特權用用戶，具具有所有有Linnux系系統(tǒng)資源源的訪問問權限。如果允允許直接接使用rroott賬號登登錄Liinuxx系統(tǒng)對對系統(tǒng)進進行操作作，會帶帶來很多多潛在的的安全風風險，為為了規(guī)避避由此帶帶來的風風險，應應禁止直直接使用用rooot帳號號登錄操操作系統(tǒng)統(tǒng)，僅在在必要的的情況通通過其他他技術手手段（如如：suu）間接

29、接的使用用rooot賬號號。禁止止直接使使用rooot賬賬號登錄錄可以規(guī)規(guī)避很多多潛在的的安全風風險，提提高系統(tǒng)統(tǒng)安全性性。此條目需需滿足以以下要求求：禁止直接接通過rroott賬號遠遠程登錄錄系統(tǒng)（sssh遠遠程登錄錄）禁止直接接使用rroott賬號本本地標準準終端登登錄（本本地ttty登錄錄，如：ttyy1、ttty22等）此條目對對以下情情況不做做強制要要求：對于設備備維護用用串口不不做強制制要求，如如connsolle。系統(tǒng)初始始化和調調測階段段不在規(guī)規(guī)則范圍圍內。實施指導導：禁止rooot賬賬號本地地直接登登錄編輯rooot登登錄設備備控制文文件seecurretttyvi /etc

30、c/seecurrettty注釋掉或或刪除所所有標準準終端設設備（形形如tttyN，如如：ttty1、ttyy2等）#ttyy1#ttyy2#ttyyN保存文件件后rooot用用戶本地地標準終終端登錄錄即被禁禁止Logiin： roootPasssworrd：Logiin iincoorreect禁止rooot賬賬號遠程程直接登登錄例：修改改opeensssh服務務配置文文件，禁禁止rooot賬賬號遠程程直接登登錄編輯oppensssh服服務配置置文件ssshdd_coonfiigvi /etcc/sssh/ssshdd_coonfiig查找PeermiitRoootLLogiin配置置項（若

31、若不存在在需添加加），將將其設置置為NooPermmitRRoottLoggin No保存文件件后，重新新啟動ssshdd服務/etcc/innit.d/ssshdd reestaart1.1.2 除有明明確特權權需求，應用程序應以非root賬號運行說明：roott權限是是Linnux系系統(tǒng)中的的超級特特權用戶戶，具有有所有LLinuux資源源的訪問問權限。若自研研程序或或者第三三方程序序存在堆堆棧溢出出漏洞，那那么攻擊擊者就可可以利用用漏洞植植入任意意代碼，獲獲取程序序執(zhí)行者者的權限限，進而而控制整整個系統(tǒng)統(tǒng)。因此此，我們們應該按按照最小小權限原原則設計計Linnux系系統(tǒng)權限限，即使使程序

32、中中存在堆堆棧溢出出漏洞，由由于被植植入惡意意代碼的的程序只只有普通通用戶權權限，無無法對系系統(tǒng)造成成嚴重影影響，攻攻擊面大大大降低低。實施指導導:比如一個個程序在在使用普普通用戶戶就可以以正常運運行的情情況，就就不應用用 rooot帳帳號運行行，按照照安全設設計的最最小權限限原則，分分析應用用程序進進程所需需要的最最小權限限，無特特權需求求的程序序禁止使使用rooot運運行。實實施方法法如下：roott# uuserraddd huuaweeisu - usser -c proograamuserr代表用用戶名，pproggramm是程序序名（這這里要注注意的是是程序名名要給決決對路徑徑）1

33、.1.3采用不不同權限限的帳號號運行不不同的應應用并對對帳號進行行權限分分離說明：在設計實實現(xiàn)應用用系統(tǒng)時時，應根根據(jù)各個個組成部部分（子子系統(tǒng)或或程序）運行所需的操作系統(tǒng)權限的不同以及暴露給用戶的訪問權限的不同，對其進行劃分和授權，采用不同權限的帳號運行不同的程序或組成部分。此條目需需滿足以以下要求求：運行weeb服務務的系統(tǒng)統(tǒng)帳號不不能和運運行數(shù)據(jù)據(jù)庫的系系統(tǒng)帳號號是同一一個帳號號，并且且要做訪訪問的權權限分離離。實施指導導:例如典型型的WEEB應用用系統(tǒng)，由由WEBB系統(tǒng)和和數(shù)據(jù)庫庫系統(tǒng)組組成，WWEB系系統(tǒng)對外外提供訪訪問服務務，外部部用戶通通過WEEB服務務獲取頁頁面相關關的數(shù)據(jù)據(jù)，

34、這此此頁面數(shù)數(shù)據(jù)敏感感度相對對低一些些，而數(shù)數(shù)據(jù)庫系系統(tǒng)一般般存放業(yè)業(yè)務相關關的重要要數(shù)據(jù)，敏敏感度高高，通常常會為兩兩個系統(tǒng)統(tǒng)建立不不同的帳帳號和權權限，并并分配不不同的目目錄來存存放敏感感度不同同的數(shù)據(jù)據(jù)。對于于WEBB系統(tǒng)使使用Appachhe服務務器情況況，會建建立appachhe用戶戶來運行行htttpd進進程，限限制htttpdd進程只只能特定定WEBB文件、配置文文件和日日志數(shù)據(jù)據(jù)，如vvar/wwww；同時時，對數(shù)數(shù)據(jù)庫使使用myysqll的情況況，也會會為數(shù)據(jù)據(jù)庫建立立專門的的帳戶mmysqql和相相應的特特權目錄錄，讓mmysqqld服務進進程只能能訪問限限定的目目錄，如如

35、varr/liib/mmysqql。通通過這樣樣的劃分分和授權權，達到到用不同同的權限限帳號運運行不同同的程序序并實現(xiàn)現(xiàn)了運行行權限的的分離。1.1.4 在運行行時有特特權需求求的程序序，在特權權操作完完后如后續(xù)無特權需需求，必必須使用用settuidd放棄特特權說明：程序中有有些任務務必需使用用rooot權限限執(zhí)行，當特權操作完成后并且后續(xù)無特權需求，應調用setuid()函數(shù)放棄root用戶的權利，使用普通用戶權限運行程序。需要注意的是一旦調用setuid()函數(shù)放棄root用戶的權利，在后續(xù)執(zhí)行中這個進程就只能以普通用戶的身份運行。此條目需需滿足以以下要求求：在程序啟啟動時需需要特權權需

36、求，啟啟動完成成后不需需要特權權需求的的程序，需需放棄特特權。實施指導導:#inccludde#inccludde#inccluddeint maiin()if(!settuidd( ggetuuid() ) 拋棄棄rooot權限限,進入入普通用用戶權限限prinntf(seetuiid ssucccesssfullly!n);elsseprinntf(seetuiid eerroor!);perrror(seetuiid);retuurn 0;1.1.5使用用suddo機制制代替以以rooot帳號號登錄運運行特權權程序的的方式。說明：sudoo可以使使普通用用戶以特特定的用用戶權限限執(zhí)行某某

37、些命令令。大部部分系統(tǒng)統(tǒng)管理命命令都需需要使用用rooot權限限執(zhí)行，對對于系統(tǒng)統(tǒng)管理員員來說，適適當?shù)膶ζ渌糜脩羰跈鄼嗫梢詼p減輕系統(tǒng)統(tǒng)管理員員負擔，但但直接授授予其它它用戶rroott用戶密密碼會帶帶來安全全方面的的風險，而而使用suudo可可以解決決這一問問題。此條目需需滿足以以下要求求：系統(tǒng)中的的需要以以rooot帳號號執(zhí)行的自自開發(fā)程程序，可可以使用用suddo機制制避免使使用rooot帳帳號登錄錄。實施指導導:下面看一一個完整整的例子子：$ caat /etcc/suudoeers為方便對對允許使使用suudo命命令的用用戶分類類，我們們可以用用戶分組組：Userr_Allias

38、sNETTWORRK_ MAAINTTAINNERSS=wwww,ccom#定義NNETWWORKK _CCOMMMANDDS可以以運行網網絡接口口配置命命令Cmndd_AlliassNETTWORRK _COMMMANNDS = /bbin/ifcconffig,/biin/ppingg#NETTWORRK_ MAAINTTAINNERSS用戶組組可以用用 rooot身身份運行行NETTWORRK _COMMMANNDS中中包含的的命令NETWWORKK_ MAAINTTAINNERSSloccalhhostt = (rooot) NEETWOORK _COOMMAANDSS1.1.6應對對

39、允許使使用suu到rooot帳帳號的用用戶進行行明確授權權，非授授權用戶戶不能切切換到rroott說明：su命令令可以使使一個一一般用戶戶擁有超超級用戶戶或其他他用戶的的權限，它它經常被被用于從從普通用用戶賬號號切換到到系統(tǒng)rroott賬號。su命命令為用用戶變更更身份提提供了便便捷的途途徑，但但如果不不加約束束的使用用su命命令，會會給系統(tǒng)統(tǒng)帶來潛潛在的風風險。通通過對用用戶suu訪問rroott賬戶的的權力進進行限制制，僅對對部分賬賬號進行行su使使用授權權，可以以提高系系統(tǒng)賬號號使用的的安全性性。此條目需需滿足以以下要求求：需建立ssu訪問問組，非非組內帳帳號未無無法使用用su命命令切換

40、換到rooot賬賬號（包包括在已已知rooot口口令的情情況下）實施指導導：使用paam_llimiits模模塊限制制su rooot的訪訪問組例：通過過組成員員限制能能夠suu為rooot的的用戶編輯paam的ssu配置置文件vi /etcc/paam.dd/suu查找auuth reqquirred pamm_whheell.soo配置行行（若不不存在需需添加），做做如下設設置：authh reequiiredd paam_wwheeel.sso ggrouup=wwheeel保存文件件后，根根據(jù)需要要將suu授權的的賬號加加入whheell組即可可。userrmodd -aa-G whe

41、eel tesstusser這樣，只只有whheell組的用用戶可以以su到到rooot（執(zhí)行ssu的用用戶仍需要知知道rooot口口令，但但未被授授權的用用戶即使使知道rroott口令也也無法通通過suu切換為為rooot用戶戶。POSIIX 能能力(ppcapp)是一一種分散散rooot用戶戶權利的的方式，使使用POOSIXX可以對對具有特特權需求求的程序序進行授授權訪問問。在需需要的時時，通過過POSSIX可可以把一一項或幾幾項特權權賦予需需要的程程序。因因此，PPOSIIX以授授予最小小的完成成工作所所需的權權限的方方式提供供一個更更安全的的選擇，堅堅持了最最小權限限的安全全原則。1.

42、1.7使用POOSIXX Caapabbiliitiees功能能避免直接接使用rroott權限說明：某個程序序運行權權限為rroott,但是是可能并并不需要要 rooot 權限的的全部能能力，以以pinng命令令為例，ppingg命令可可能只需需要caap_nnet_raww能力來來發(fā)送IICMPP piing報報文，對對于rooot其其它能力力并不是是必需的的。因此此，只需需要將ccap_nett_raaw能力力分配ppingg命令，這這樣普通通用戶就就可以使使用piing命命令了。使用seetcaap分配配運行命命令所需需要的能能力替換換直接使使用rooot。此功能能需要內內核版本本在2.

43、66.133以上，并且xxatttr（擴擴展文件件屬性）功功能在內內核設置置中被打打開。下表為ssetccap中中提供的的能力：名稱值解釋CAP_CHOOWN0允許改變變文件的的所有權權CAP_DACC_OVVERRRIDEE1忽略對文文件的所所有DAAC訪問問限制CAP_DACC_REEAD_SEAARCHH2忽略所有有對讀、搜索操操作的限限制CAP_FOWWNERR3以最后操操作的UUID,覆蓋文文件的先先前的UUIDCAP_FSEETIDD4確保在文文件被修修改后不不修改ssetuuid/settgidd位CAP_KILLL5允許對不不屬于自自己的進進程發(fā)送送信號CAP_SETTGIDD

44、6允許改變變組IDDCAP_SETTUIDD7允許改變變用戶IIDCAP_SETTPCAAP8允許向其其它進程程轉移能能力以及及刪除其其它進程程的任意意能力(只限iinitt進程)CAP_LINNUX_IMMMUTAABLEE9允許修改改文件的的不可修修改(IIMMUUTABBLE)和只添添加(AAPPEEND-ONLLY)屬屬性CAP_NETT_BIIND_SERRVICCE10允許綁定定到小于于10224的端端口CAP_NETT_BRROADDCASST11允許網絡絡廣播和和多播訪訪問CAP_NETT_ADDMINN12允許執(zhí)行行網絡管管理任務務：接口口、防火火墻和路路由等CAP_NETT

45、_RAAW13允許使用用原始(raww)套接接字CAP_IPCC_LOOCK14允許鎖定定共享內內存片段段CAP_IPCC_OWWNERR15忽略IPPC所有有權檢查查CAP_SYSS_MOODULLE16插入和刪刪除內核核模塊CAP_SYSS_RAAWIOO17允許對iiopeerm/ioppl的訪訪問CAP_SYSS_CHHROOOT18允許使用用chrroott()系系統(tǒng)調用用CAP_SYSS_PTTRACCE19允許跟蹤蹤任何進進程CAP_SYSS_PAACCTT20允許配置置進程記記帳(pproccesss acccouuntiing)CAP_SYSS_ADDMINN21允許執(zhí)行行系

46、統(tǒng)管管理任務務：加載載/卸載載文件系系統(tǒng)、設設置磁盤盤配額、開/關關交換設設備和文文件等CAP_SYSS_BOOOT22允許重新新啟動系系統(tǒng)CAP_SYSS_NIICE23允許提升升優(yōu)先級級，設置置其它進進程的優(yōu)優(yōu)先級CAP_SYSS_REESOUURCEE24忽略資源源限制CAP_SYSS_TIIME25允許改變變系統(tǒng)時時鐘CAP_SYSS_TTTY_CCONFFIG26允許配置置TTYY設備CAP_MKNNOD27允許使用用mknnod()系統(tǒng)統(tǒng)調用CAP_LEAASE28允許在文文件上建建立租借借鎖CAP_SETTFCAAP31允許在指指定的程程序上授授權能力力給其它它程序實施指導導:參

47、考設計計樣例中中的 HYPERLINK l 位置1 使使用seetcaap避免免直接使使用rooot方案文件和目目錄權限限1.2.1系統(tǒng)統(tǒng)中禁止止有無主主文件存存在說明：無主文件件（和目目錄）是是指屬于于沒有匹匹配到任任何用戶戶的用戶戶ID的的文件。通常管管理員刪刪除一個個用戶但但是該用用戶在文文件系統(tǒng)統(tǒng)中尚有有文件時時會發(fā)生生這種情情況。同同樣的情情況也會會發(fā)生在在用戶組組上。這這些文件件叫做未未分組文文件。如如果新用用戶分配配到某個個已刪除除用戶的的用戶IID，新新用戶將將能夠訪訪問某些些原本無無意訪問問的文件件。因此此，應根根據(jù)實際際情況對對其進行行合理處處理如刪刪除、添添加新的的用戶或

48、或用戶組組等。實施指導導：可使用如如下命令令檢查無無主文件件和未分分組文件件roott # finnd / ( -nnousser -o -noogrooup ) prrintt1.2.2除有明確確需求，應應刪除文件件不必要要的settuidd和seetgiid位說明：非法帶有有settuidd和settgidd的可執(zhí)執(zhí)行文件件可能對系系統(tǒng)造成成威脅。因此，建建議對除除必須要要帶SUUID位位的可執(zhí)執(zhí)行文件件進行檢檢查，刪刪除不必必要可執(zhí)執(zhí)行文件件的seetuiid和ssetggid位位。必須須要帶SSUIDD位的的的可執(zhí)行行文件根根據(jù)系統(tǒng)統(tǒng)版本和和配置不不同會不不同。此條目需需滿足以以下要求

49、求：公司自主主開發(fā)的的軟件/程序需需遵守本本條目（操作系統(tǒng)自帶程序不做嚴格限制）。實施指導導：可使用如如下命令令來顯示示settuidd 和ssetggid 可執(zhí)行行文件：roott # finnd / -ttypee f ( -peerm -40000 -o -peerm -20000 ) prrintt顯然，命命令結果果中會列列出很多多設置了了settuidd/seetgiid 位位的文件件（例如如/ussr/bbin/passswdd 文件件）：仔仔細確認認文件列列表并確確認是否否有必要要設置該該權限。如果確定定某可執(zhí)執(zhí)行文件件沒有必必要設置置settuidd位，使使用以下下命令將將其刪

50、除除：roott # chmmod -s FILLE1.2.3應為為系統(tǒng)用用戶設置置缺省的的umaask值值說明：umassk設置置了用戶戶創(chuàng)建文文件的默默認權限限。一般在在/ettc/pproffilee、$ HOOME/.bbashh_prrofiile或或$HHOMEE/.proofille中設設置ummaskk值。因因此系統(tǒng)統(tǒng)必須設設置Umassk值，普通用戶推薦值為022,超級用戶推薦值為027。如果用戶希望創(chuàng)建的文件或目錄的權限不是umask指定的缺省權限，可以修改缺省的umask值，然后再創(chuàng)建文件或目錄。 實施指導導：$umaask查詢默認認的ummaskk值020系統(tǒng)默認認為0

51、220，更改改為所希希望的0022$umaask0022$touuch tesstfiile創(chuàng)建文件件$ls -l tesstfiile查看創(chuàng)建建后的權權限rxwrr-xrr-x addminn addminn 7886 NNov 17 10:45 /hoome/ teestffilee1.2.4使用用特殊屬屬性位Stiickyy位對共共享目錄錄權限進進行控制制說明：Sticcky位位是Liinuxx系統(tǒng)下下的一種種特殊文文件屬性性位，可可用于加加強對文文件的權權限管理理，合理理的使用用Stiickyy位屬性性，能夠夠幫助提提高文件件和目錄錄的安全全性。使用Sttickky位對對共享目目錄權限

52、限進行控控制，可可以防止止共享目目錄中不不屬于自自己的文文件被惡惡意或無無意刪除除。在LLinuux系統(tǒng)統(tǒng)下，最最典型的的共享目目錄為用用于臨時時文件存存取的/tmpp和/vvar/tmpp目錄。此條目需需滿足以以下要求求：對/tmmp和/varr/tmmp目錄錄應設置置Stiickyy位，確確保用戶戶（rooot除除外）只只能對自自己建立立的文件件或目錄錄進行刪刪除/更更名/移移動等動動作。實施指導導：在Linnux系系統(tǒng)下，有有一些特殊殊文件屬屬性位用用于加強強對文件件的權限限管理，合合理的使使用這些些特殊屬屬性，能能夠幫助助提高文文件和目目錄的安安全性。使用Sttickky位對對共享目目

53、錄權限限進行控控制，可可以防止止共享目目錄中不不屬于自自己的文文件被惡惡意或無無意刪除除。對不不希望被被修改的的文件設設置非可可變位（IImmuutabble bitt），系統(tǒng)統(tǒng)不允許許對這個個文件進進行任何何的修改改。如果果對目錄設置置這個屬屬性，那那么任何何的進程程只能修修改目錄錄中已存存在的文文件，不不能建立和和刪除文文件。對對不允許許修改歷歷史內容容的文件件設置只只追加位位（Apppennd-oonlyy biit），系系統(tǒng)只允允許在這這個文件件之后追追加數(shù)據(jù)據(jù)，不允允許任何何進程覆覆蓋或者者截斷這這個文件件。如果果目錄具具有這個個屬性，系系統(tǒng)將只只允許在在這個目目錄下建建立和修修改文

54、件件，而不不允許刪刪除任何何文件。設置sttickky位chmood +t /tmpp$ lss -lld /tmppdrwwxrwwxrwwt 11 rooot rooot 7786 Novv 177 100:455 /ttmp注意：rrwt權權限中tt代表ssticcky和和exeecutte位。如果顯顯示的是是T，那那么只有有stiickyy位置位位了。1.2.5 利用特特殊文件件屬性AAppeend-onlly位保保護系統(tǒng)統(tǒng)命令行行歷史日日志文件件，防止止內容被被篡改說明：在Linnux系系統(tǒng)下，有有一些特殊殊文件屬屬性位用用于加強強對文件件的權限限管理，合合理的使使用這些些特殊屬屬性

55、，能能夠幫助助提高文文件和目目錄的安安全性。對不允允許修改改歷史內內容的文文件設置置只追加加位（AAppeend-onlly bbit），系系統(tǒng)將只允許許在這個個文件之之后追加加數(shù)據(jù)，不不允許任任何進程程覆蓋或或者截斷斷這個文文件。如如果目錄錄具有這這個屬性性，系統(tǒng)統(tǒng)將只允允許在這這個目錄錄下建立立和修改改文件，而而不允許許刪除任任何文件件。此條目需需滿足以以下要求求：對系統(tǒng)中中的用戶戶命令行行歷史日日志文件件（典型型名稱如如：.bbashh_hiistoory）設置只只追加位位（Apppennd-oonlyy biit），防防止日志志被篡改改。此條目對對以下情情況不做做強制要要求：對命令行行

56、日志文文件有定定期截斷斷或回滾滾需求的的系統(tǒng)不不做追加加位（AAppeend-onlly bbit）設置的強制要求。實施指導導：設置非可可變位和和只追加加位$ suudo chaattrr +aai ttestt.txxt$ lsaattrr teest.txttiaa ttestt.txxt訪問控制制自主訪問問控制2.1.1 使用POOSIXX ACCL進行行更細粒粒度的訪訪問控制制說明：雖然Liinuxx系統(tǒng)提提供了文文件控制制機制，但但是也具具有一些些局限性性。例如如，一個個目錄只只允許一一個組訪訪問。PPOSIIX AACL提提供了一一種更加加細粒度度的訪問問控制機機制，通通過運用用這

57、種機機制，文文件系統(tǒng)統(tǒng)對象可可以為具具體用戶戶和組分分配訪問問權限。每一個個文件系系統(tǒng)對象象都有一一條對應應的訪問問ACLL，用于于控制對對該對象象的訪問問。此外外，目錄錄還可以以包括一一條缺省省的ACCL，該該缺省AACL決決定了本本目錄中中創(chuàng)建的的對象的的首次訪訪問ACCL。此此功能需需要內核核版本22.6以以上，并并且內核核開啟PPOSIIX AACL、xatttr功功能 。此建議議適用于于提供對對文件或或目錄的的細粒度度訪問控控制的情情形，比比如：同同一個用用戶組中中的兩個個用戶，對對特定的的文件或或目錄，需需要設定定一個用用戶擁有有寫的權權限，而而另一個個用戶只只擁有只只讀權限限。此

58、條目需需滿足以以下要求求：對于特定定的目錄錄或文件件僅允許許特定的的幾個用用戶組或或用戶設設置使用用權限的的情形，建建議使用用ACLL進行細細粒度的的訪問控控制。POSIIX AACL條條目名稱稱解釋用法ACL_USEER_OOBJ所有者的的訪問權權限userr:ACL_USEERacceess rigghtss off soome speeciffic useer, othher thaan tthe ownner除所有者者外，一一些特定定用戶的的訪問權權限userr:USSERNNAMEE:ACL_GROOUP_OBJJacceess rigghtss off thhe ggrouup t

59、thatt owwns thee fiile文件所屬屬組的訪訪問權限限grouup:ACL_GROOUPacceess rigghtss off soome grooup thaat ddoessntt owwn tthe fille非文件所所屬組的的訪問權權限grouup:GGROUUPNAAME:ACL_OTHHERacceess rigghtss off annyonne nnot othherwwisee cooverred所有沒有有覆蓋用用戶的訪訪問根限限otheer:ACL_MASSKmaxiimumm poossiiblee acccesss rrighhts forr evve

60、ryyonee, eexceept forr thhe oowneer aand OTHHER定義了AACL_USEER, ACLL_GRROUPP_OBBJ和AACL_GROOUP的的最大權權限。maskk:GRROUPPNAMME:實施指導導：下面用幾幾個例子子來解釋釋這些概概念：通過設置置umaask為為0277，設置置新創(chuàng)建建的文件件組沒有有寫權限限和其他他用戶的的沒有任任何權限限$ ummaskk 0227$ mkkdirr diirecctorry$ lss -lld ddireectoory/drwxxr-xx 1 bobb usserss 0 decc 11 155:100 d