文件系统层次的安全与优化 For Linux
0 对于网络服务器来说,操作系统是独立存在的而不是多系统,所以为了更好的保持系统的稳定性对磁盘的分区结构要做好合理的规划,可以根据服务器的实际需求,有些目录可以单独分区避免磁盘空间不足而影响整个系统,建议下面这些目录划分为独立分区:/boot 这里面包含系统内核、grub程序等关键的引导程序,如果以后要对内核升级。。。建议分区为200MB以上
/home这里面是用户默认宿主所在的上一级文件夹,如果服务器用户数量很多,我们也无法得知道每个用户所使用的空间小。
/var 这里面用于存放系统日志,运行状态文件,用户邮箱等,证件读写频繁占用空间可能比较多。
/opt 这是用于安装服务器的附加应用程序及其他工具。
1 通过挂载禁止执行set位程序和二进制程序。利用mount挂载选项可以加强对执行程序的控制减少病毒、恶意代码所带来的的风险,noexec选项用于禁止直接执行分区的程序文件,这样即使在分区中置入了病毒或恶意程序代码也无法自动运行。
例:让/var分区中程序文件的执行{X}权失效,直接禁止执行该分区中二进制程序
# vi /etc/fstab
/dev/sda1 /var
# mount -o remount/var
2 锁定不希望更改的系统文件
在ext2\3日志文件系统中,可以使用命令chattr对文件的属性进行修改,添加+i属性后,文件将不能修改,也不能被删除、重命名或建立连接等,如果添加+a属性,则文件只能以追加的方式添加内容,即使用“>>”重新定向追加内容.一般对不希望被再次更改的系统文件,可以使用+i将文件锁定。比如:将/etc/passwd文件进行锁定以后,刚该文件的内容不可变更,用useradd命令也无法添加系统用户。
比如用+i属性锁定 passwd servicesgrub.conf{则不会正常添加系统用户}
# chattr +i /etc/services/etc/passwd/boot/grub.conf
---i--------------/etc/passwd
#chattr -i /etc/passwd
顶一个。:lol:lol 哈哈,学习中 又學到了一課
页:
[1]