Linux敏感文件权限加固需结合强制访问控制(SELinux/AppArmor)、审计追踪(auditd)与最小权限原则:设umask 077、/etc/shadow权限640并配shadow组、禁用敏感目录group/other执行权、启用MAC策略限制进程访问、配置auditd监控关键路径读写及属性变更、每日哈希校验与自动化权限扫描。
Linux系统中,敏感文件(如/etc/shadow、/etc/passwd、SSH密钥、数据库配置、环境变量文件等)一旦被未授权访问或篡改,可能直接导致权限失控、数据泄露甚至系统沦陷。单纯靠文件权限(chmod/chown)远远不够,必须结合强制访问控制、审计追踪与最小权限原则,构建纵深防御。
基础权限设置是第一道门槛,但需注意细节:
/etc/profile或/etc/bash.bashrc中统一设为umask 077(新建文件默认仅属主可读写)/etc/ssh应为drwx------(700),否则其他用户可能遍历其内容/etc/shadow属主为 root、属组为 shadow、权限为640,再将仅需读取的程序(如 login)加入 shadow 组,而非开放 world-readable/opt/app/conf设为drwxr-s---,属组为 appconf,所有运维人员加入该组,避免直接给 root 权限传统 DAC(自主访问控制)无法阻止 root 进程越权读取。SELinux/AppArmor 提供 MAC(强制访问控制),按进程类型限制其能访问的文件类型:
httpd_config_t,即使 Apache 以 root 运行,也无法读取标记为etc_t的普通配置文件sudo setenforce 1临时开启,修改/etc/selinux/config中SELINUX=enforcing永久生效aa-genprof为关键服务生成策略,重点限制其对/etc、/var/secrets等路径的访问能力权限只是“门锁”,auditd 是“监控摄像头”。需精准审计敏感路径的读、写、执行、属性变更:
/etc/audit/rules.d/privileged.rules,加入:-w /etc/shadow -p wa -k identity -w /etc/passwd -p wa -k identity -w /root/.ssh/ -p wa -k ssh_root -w /home/*/\.ssh/ -p wa -k ssh_user -w /etc/ssl/private/ -p wa -k ssl_private
其中-p wa表示监控 write 和 attribute change(如 chmod/chown),-k指定审计键名便于日志过滤。
sudo ausearch -k identity --start today | aureport -f -i
audispd插件将匹配identity键的日志转发至日志服务器,或通过ausearch + awk + mail脚本触发即时通知人工检查易遗漏,需固化为周期任务:
sha256sum /etc/shadow /etc/passwd > /var/log/filehash.baseline,配合 cron 每日比对变化find /etc /root /opt -type f -perm -o+w 2>/dev/null,发现即告警find /root /home -name "id_rsa" -o -name "id_dsa" -o -name "id_ecdsa" -o -name "id_ed25519" -exec ls -l {} \;,确保私钥权限≤600、公钥≤644file模块可声明式定义权限;SaltStack 可用file.managed自动修复偏差以上就是Linux敏感文件如何保护_权限与审计组合方案【教程】的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
368
收藏
