linux安全管理-认证授权

news2024/11/29 0:22:26

文章目录

- 1、用户目录缺省访问权限设置
- 2、用户口令文件属性设置
- 3、重要文件或目录的权限设置

1、用户目录缺省访问权限设置

1、检查内容
检查系统登录访问的权限配置。
2、配置要求
系统登录访问的权限配置里的 UMASK 为 027, 将/etc/csh.cshrc、/etc/bashrc 和/etc/profile 文件中的 umask 设置为 027, 修改
/etc/login.defs 文件中的 UMASK 的值为 027。
3、配置方法
修改/etc/login.defs 文件中的 UMASK 的值为 027,实例如下 ：
UMASK 027
配置方法如下：
sed -i '/^UMASK/c\UMASK 027' /etc/login.defs
将/etc/csh.cshrc、/etc/bashrc 和/etc/profile 文件中的 umask 设置为 027，在/etc/csh.login 文件尾部添加 umask 027
配置命令如下：
cp /etc/csh.cshrc /etc/csh.cshrc.bak
cp /etc/bashrc /etc/bashrc.bak
cp /etc/profile /etc/profile.bak
cp /etc/csh.login /etc/csh.login.bak
sed -i -r 's#umask 002#umask 027#g' /etc/csh.cshrc
sed -i -r 's#umask 022#umask 027#g' /etc/csh.cshrc
sed -i -r 's#umask 002#umask 027#g' /etc/bashrc
sed -i -r 's#umask 022#umask 027#g' /etc/bashrc
sed -i -r 's#umask 002#umask 027#g' /etc/profile
sed -i -r 's#umask 022#umask 027#g' /etc/profile
echo 'umask 027' >>/etc/csh.login

2、用户口令文件属性设置

1、检查内容
检查系统用户口令文件的属性。
2、配置要求
设置系统用户口令文件的属性，使文件不能被删除、改名、设定链接关系，同时不能写入或新增内容，以增加安全性。
3、配置方法
修改/etc/passwd 、/etc/shadow 、/etc/group 和/etc/gshadow 文件的属性，配置方法如下：
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow
查看文件相关属性方法如下：
lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow
[root@RHEL8 ~]# lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow
----i--------------- /etc/passwd
----i--------------- /etc/shadow
----i--------------- /etc/group
----i--------------- /etc/gshadow
[root@RHEL8 ~]#
注意：配置完后，系统将无法再添加用户和修改用户密码。如果需要操作，需要先将属性删除，配置方法如下：
chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow

3、重要文件或目录的权限设置

1、检查内容
查看重要文件或目录属性。
2、配置要求
文件或目录属性其要求如下：
文件：
/etc/passwd ##644（-rw-r--r--）
/etc/group ##644（-rw-r--r--）
/etc/shadow ##600（-rw-------）
/etc/services ##640（-rw-r-----）
/boot/grub2/grub.cfg ##600（-rw-------）
目录：
/etc/security ##600（drw-------）
/tmp ##750（drwxr-x---）
/etc/rc0.d/ ##750（drwxr-x---）
/etc/rc1.d/ ##750（drwxr-x---）
/etc/rc2.d/ ##750（drwxr-x---）
/etc/rc3.d/ ##750（drwxr-x---）
/etc/rc4.d/ ##750（drwxr-x---）
/etc/rc5.d/ ##750（drwxr-x---）
/etc/rc6.d/ ##750（drwxr-x---）
/etc/rc.d/init.d/ ##750（drwxr-x---）
3、配置方法
文件的权限查看方法：ls -l 文件名，例如：ls -l /etc/passwd
目录的权限查看方法：ls -dl 目录名，例如：ls -dl /tmp
权限修改方法：chmod 权限值 文件名或目录名，例如：chmod 640 /etc/services
chmod 640 /etc/services
chmod 600 /boot/grub2/grub.cfg
chmod 600 /etc/security
chmod 750 /tmp
chmod 750 /etc/rc0.d/
chmod 750 /etc/rc1.d/
chmod 750 /etc/rc2.d/
chmod 750 /etc/rc3.d/
chmod 750 /etc/rc4.d/
chmod 750 /etc/rc5.d/
chmod 750 /etc/rc6.d/
chmod 750 /etc/rc.d/init.d/