原文地址:http://drops.wooyun.org/%e8%bf%90%e7%bb%b4%e5%ae%89%e5%85%a8/12119

0x00 文件安全

文件的s、t、i、a權限

首先說一下關于文件的命令：ls more cat less head touch rm rmdir cd mkdir等等 對于一些文件我們希望它只有特定的用戶可以訪問，其他用戶不可以訪問，或者一個文件只能擁有著可以操作其他用戶就不能操作這個時候我們應該怎么辦?在linux系統中，對于文件和文件夾有一個s、t、i、a的權限，可以幫助我們做到這些；

例如這里的passwd命令，它的擁有者有一個s的權限，這個權限是什么意思呢！它代表普通用戶在執行passwd這個命令時暫時擁有這個文件本身所屬用戶的權限。

我這里解釋一下SUID 與 SGID

SUID僅可用在“二進制文件（binary file）”，SUID因為是程序在執行過程中擁有文件擁有者的權限，因此，它僅可用于二進制文件，不能用在批處理文件（shell腳本）上。這是因為shell腳本只是將很多二進制執行文件調進來執行而已。所以SUID的權限部分，還是要看shell腳本調用進來的程序設置，而不是shell腳本本身。當然，SUID對目錄是無效的。這點要特別注意。

SGID進一步而言，如果s的權限是在用戶組，那么就是Set GID，簡稱為SGID。

• 文件：如果SGID設置在二進制文件上，則不論用戶是誰，在執行該程序的時候，它的有效用戶組（effective group）將會變成該程序的用戶組所有者（group id）。
• 目錄：如果SGID是設置在A目錄上，則在該A目錄內所建立的文件或目錄的用戶組，將會是此A目錄的用戶組。

上面介紹了關于s與t權限的一些東西，這里再說一下a與i權限，在linux中還有chattr這個命令，與他對應的還有一個lsattr命令

chattr這個命令常用于鎖定文件的

chattr:

所以作為一個網絡安全運維人員，我們必須對文件進行嚴格的配置，這里只是一些針對文件本身是安全設置，不同的文件具有不同的讀寫執行等權限，接下來我們就針對不同用戶對不同文件的讀寫執行來做一個描述；

文件的ACL

針對文件以及文件夾我們在新建的時候，通常會有一個默認的權限：

我們會發現文件夾是755，而我們的文件是644，這是為什么呢，原因就是在linux中默認的umask權限，這個umask一般在我們的/etc/profile

umask值：022代表什么意思呢，umask其實是權限的補碼，就是在777權限上減去的值，所以我們文件夾的權限是7-0/7-2/7-2=755，那為什么我們文件的是644呢，因為創建文件的時候還需要減去一個默認的執行權限1，所以文件的權限就是7-1/7-3/7-3=644

平時我們修改文件權限的常用命令有這些：chmod、chown、chattr等，但是對于文件還有一個ACL(訪問控制列表)機制，下面就以Centos7中來介紹一下文件的訪問控制，對于ACL常見的命令有3個：setfacl、getfacl、chacl

通過上圖我們可以發現對文件的描述是一樣的，文件名、擁有著、所屬組、以及他們對應的權限；對于getfacl獲取文件的權限沒有什么可說的，這里詳細說一下對文件權限的設置：

首先是參數：

#!bash
setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...

-b：刪除所有的acl參數
-k：刪除預設的acl參數
-n：不重新判斷是否有效
-d：設置預設的acl參數（只針對目錄，在目錄中的新建文件同樣使用此acl）
-R: 遞歸設置后面的acl參數
-x：刪除后面指定的acl參數
-m：設置后面指定的acl參數

針對acl參數：

#!bash
[u/g/o]:[username/groupname/空]:[rwx] filename

下面看實例：

我們再設置一個對其他用戶完全沒有權限的acl

這里再添加一個可以讀可執行卻沒有寫權限的用戶acl，

這就是文件訪問控制的魅力，你希望這個文件對那些用戶有什么權限都可以通過這樣來進行設置；

文件的共享

提供文件共享的服務Samba、NFS、Ftp等等，這些都可以作為Linux中文件的共享功能；提供服務時需要注意目錄的權限控制，這里我們將一下Linux中與cp命令相對應的一個命令scp，它可以遠程來傳輸文件，并且基于ssh登錄是一個安全的文件傳輸通道；常常用于我們的兩臺服務器之間的文件傳輸，比如我們的備份日志(通過crontab來實現)

傳一個文件到我們的遠程服務器上面：

從遠程服務器上面獲取一個文件：

如果我們不想在每次獲取文件或者傳輸文件的時候輸入密碼，我們可以使用ssh建立密鑰認證來進行傳輸，一般在我們備份日志文件中也是通過這樣的方式來進行備份；

制定一個定時任務crontab -e每2分鐘向服務器發送一個test.txt的文件

我們這么做的目的或者說這么做了對服務器有什么安全性嘛，其實scp命令就是一個通過ssh的傳輸功能，我們可以在ssh結合firewall做一些限制，比如只允許哪些IP或IP段訪問我們的服務器，這樣我們就可以控制哪些可信的pc或服務器訪問；

同時我們也可以通過SSH定時更新我們的密鑰文件來防止我們的密鑰文件泄漏；

這么做比我們使用ftp、samba等來傳輸文件更加安全可靠；

命令記錄功能

在Linux系統中，有一個很重要的命令可以幫助我們曾經使用過的命令記錄，但是也許有的時候我們并不需要這個功能，或者某些用戶需要某些用戶不需要，這個時候我們可以都配置文件進行配置：

配置文件：/etc/bashrc

在里面加入這4行

#!bash
HISTFILESIZE=1000           #保存命令的記錄總數
HISTSIZE=1000               #history命令輸出的命令總數
HISTTIMEFORMAT='%F %T'      #定義時間顯示格式
export HISTTIMEFORMAT       #載入

HISTFILE=/root/test     #里面命令保存目錄
export HISTFILE         #載入，重新登陸用戶生效
export HISTCONTROL      #忽略重復的命令
export HISTIGNORE="[ ]*:&:bg:fg:exit"       #忽略冒號分割這些命令

我們如果不想使用保存命令將記錄總數設置為0就可以了；

這里提供一個“高性能構建Linux服務器”中提到的一個使用history記錄用戶的操作，在/etc/profile文件中添加如下代碼：

#!bash
#history
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`  #這句話就是先獲取用戶及IP信息，將標準錯誤輸出到黑洞當中，然后使用awk命令獲取最后一組參數，再通過sed將()替換掉；
HISTDIR=/usr/share/.history
#判斷IP
if [ -z $USER_IP ]
then
    USER_IP=`hostname`
fi
#判斷是否存在日志目錄
if [ ! -d $HISTDIR ]
then
    mkdir -p $HISTDIR
    chmod 777 $HISTDIR
fi
#生成日志日文件
if [ ! -d $HISTDIR/${LOGNAME} ]
then
    mkdir -p $HISTDIR/${LOGNAME}
    chmod 300 $HISTDIR/${LOGNAME}
fi

export HISTSIZE=4000
DT=`date +%Y%m%d_%H%M%S`
export HISTFILE="$HISTDIR/${LOGNAME}/${USER_IP}.history.$DT"
export HISTTIMEFORMAT="[%Y.%m.%d %H:%M:%S]"
chmod 600 $HISTDIR/${LOGNAME}/*.history* 2>/dev/null

如果我們是想給不同的用戶設置history配置，我們就可以在相對應的賬戶家目錄中的.bash_profile文件中進行編輯，然后重新登錄系統就修改成功；

當然在Linux系統中其實還有一個命令可以幫助我們記錄我們所操作過的命令：script

script這個命令不但可以記錄我們執行的命令，還可以記錄我們執行命令后的返回結果，但是隨著命令的執行這個文件會越來越大，所以這個命令使用的很少；

0x01 用戶密碼安全

密碼策略

在禁用不必要的服務及用戶中，我們已經說過關于刪除一些無用的用戶(http://drops.wooyun.org/tips/11801)，但是linux作為一個多用戶的系統，我們還是不可避免的會去新增很多用戶，我們不能保證每一個用戶具有很好的安全意識，所以只能在用戶的密碼以及用戶的遠程訪問上做一些限制，我們先介紹Linux用戶密碼策略；

關于密碼策略，我這里只從簡單的配置文件說，對于Centos系列中使用pam認證機制不是本文的討論范圍；

配置文件：vim /etc/login.defs

#!bash
MAIL_DIR        /var/spool/mail         #郵件目錄

PASS_MAX_DAYS   99999                   #密碼過期最大時間，99999代表永久有效
PASS_MIN_DAYS   0                       #是否可修改密碼，0代表可修改，非0代表多少天后修改
PASS_MIN_LEN    5                       #密碼最小長度，使用pam_creacklib module,這個參數不生效
PASS_WARN_AGE   7                       #密碼失效前多少天在用戶登錄時通知用戶修改密碼

UID_MIN                  1000           #UID的最小值
UID_MAX                 60000           #UID的最大值
SYS_UID_MIN               201           #系統UID的最小值
SYS_UID_MAX               999           #系統UID的最大值

GID_MIN                  1000
GID_MAX                 60000
SYS_GID_MIN               201
SYS_GID_MAX               999

CREATE_HOME     yes                     #是否創建家目錄

UMASK           077                     #umask的值

USERGROUPS_ENAB yes                     #當值為yes，沒有-g參數自動創建名稱和用戶名相同的組

ENCRYPT_METHOD SHA512                   #加密方式

這個就是我們的用戶密碼策略，我們可以通過修改配置文件來對用戶密碼策略進行修改，也可以通過命令來進行修改：chage

chage：