1、Linux操作系統安全技術介紹技術創新 變革未來知識體系2Linux系統安全知識體知識域賬戶安全知識子域賬戶的基本概念文件系統安全日志分析賬戶風險與安全策略文件系統的格式安全訪問與權限設置系統日志的分類系統日志的審計方法Linux系統標識與鑒別-安全主體安全主體用戶：身份標識（User ID）組：身份標識（Group ID）用戶與組基本概念文件必須有所有者用戶必須屬于某個或多個組用戶與組的關系靈活（一對多、多對多等都可以）根用戶擁有所有權限Linux系統標識與鑒別-帳號信息存儲信息存儲用戶信息：/etc/passwd/etc/shadow組信息/etc/group/etc/gshadow用戶信

2、息文件-passwd用于存放用戶信息（早期包括使用不可逆DES算法加密形成用戶密碼散列）特點文本格式全局可讀存儲條目格式name:coded-passwd:UID:GID:userinfo:homedirectory:shell條目例子demo:x:523:100:J.demo:/home/demo:/bin/sh用戶名早期：密碼散列X:代替密碼散列*:賬號不可交互登錄用戶ID用戶所屬組ID用戶信息用戶目錄用戶登錄后使用的shell用戶帳號影子文件-shadow用于存放用戶密碼散列、密碼管理信息等特點文本格式僅對root可讀可寫存儲條目格式name:passwd:lastchg:min:max

3、:warn:inactive:expire:flag條目例子#root:$1$acQMceF9:13402:0:99999:7:用戶登錄名及加密的用戶口令上次修改口令日期口令兩次修改最小天數及最大天數口令失效前多少天向用戶警告被禁止登錄前還有效天數帳號被禁止登錄時間保留域Linux系統身份鑒別口令鑒別本地登錄遠程登錄（telnet、FTP等）主機信任（基于證書）PAM（PluggableAuthenticationModules,可插拔驗證模塊）PAM APIlogintelnetSSHLinuxKerberosS/keyPAM SPILinux系統訪問控制-權限模式文件/目錄權限基本概念權限

4、類型：讀、寫、執行權限表示方式：模式位drwxr-xr-x 3 root root 1024 Sep 13 11:58 test文件類型：d為文件夾 -是文件文件擁有者的權限（U）文件擁有者所在組其他用戶的權限（G）系統中其他用戶權限（O）鏈接數文件擁有者UID文件擁有者GID文件大小最后修改時間文件名Linux系統訪問控制-權限模式權限的數字表示法權限的特殊屬性 SUID、SGID、Sticky（防刪除）-r-s-x-x 1 root root 10704 Apr 15 2002 /usr/bin/passwd SUID程序Linux系統安全審計-日志系統系統日志類型連接時間日志/var/l

5、og/wtmp和/var/run/utmp由多個程序執行，記錄用戶登錄時間進程統計由系統內核執行，為系統基本服務提供命令使用統計錯誤日志/var/log/messages由syslogd守護記錄，制定注意的事項應用程序日志應用程序如（HTTP、FTP）等創建的日志Linux文件系統文件系統類型日志文件系統：Ext4、Ext3、Ext2、ReiserFS、XFS、JFS等文件系統安全訪問權限文件系統加密eCryptfs（Enterprise Cryptographic Filesystem）基于內核，安全性高，用戶操作便利加密元數據寫在每個加密文件的頭部，方便遷移，備份文件系統目錄結構/home

6、 bin proc usr boot lib dev etc varftp ljw linux bin lib man tmp lib log run spool tmpLinux系統的特權管理特權劃分分割管理權限，30多種管理特權根用戶（root）擁有所有特權普通用戶特權操作實現setuid setgid特權保護：保護root賬號不直接使用root登錄，普通用戶su成為root控制root權限使用Linux系統安全設置1、安全配置前置工作2、賬號和口令安全3、系統服務配置4、遠程登錄安全5、文件和目錄安全6、系統日志配置7、使用安全軟件Linux設置-安全配置前置工作系統安裝使用官方/正版軟

7、件分區掛載重要目錄根目錄（/）、用戶目錄（/home）、臨時目錄（/tmp）等應分開到不同的磁盤分區自定義安裝，選擇需要的軟件包不安裝全部軟件包，尤其是那些不需要的網絡服務包系統補丁及時安裝系統補丁更新補丁前，要求先在測試系統上對補丁進行可用性和兼容性驗證Linux設置賬號和口令安全賬號通用配置保護root賬號口令安全策略賬號和口令安全賬號通用配置（1）檢查、清除系統中多余賬號檢查#cat /etc/passwd#cat /etc/shadow清除多余賬號鎖定賬號特殊保留的系統偽賬戶，可以設置鎖定登錄鎖定命令：#passwd -l 解鎖命令：#passwd -u 賬號和口令安全賬號通用配置（2

8、）禁用root之外的超級用戶打開系統賬號文件/etc/passwd若用戶ID=0，則表示該用戶擁有超級用戶的權限檢查是否有多個ID=0禁用或刪除多余的賬號賬號和口令安全賬號通用配置（3）檢查是否存在空口令賬號執行命令#awk -F: ( $2= ) print $1 /etc/shadow如果存在空口令賬號，則對其進行鎖定，或要求增加密碼要確認空口令賬戶是否和已有應用關聯，增加密碼是否會引起應用無法連接的問題賬號和口令安全賬號通用配置（3）設置賬戶鎖定登錄失敗鎖定次數、鎖定時間修改賬戶超時值，設置自動注銷時間賬號和口令安全保護root賬號root賬號權限很高保護措施禁止使用root登錄系統只允

9、許普通用戶登陸，然后通過su命令切換到root不要隨意把root shell留在終端上；不要把當前目錄(“ . /”)和普通用戶的bin目錄放在root賬號的環境變量PATH中永遠不以root運行其他用戶的或不熟悉的程序賬號和口令安全口令安全策略口令安全策略要求使用安全口令口令長度、字符要求口令修改策略強制口令使用有效期設置口令修改提醒設置賬戶鎖定登錄失敗鎖定次數、鎖定時間vi/etc/login.def PASS_MAX_DAYS90PASS_MIN_DAYS7PASS_MIN_LEN6PASS_WARN_AGE28Linux設置系統服務配置禁止危險的網絡服務telnet、FTPecho、c

10、hargen、shell、finger、NFS、RPC等關閉非必需的網絡服務talk、ntalk等確保最新版本使用當前最新和最安全的版本的服務軟件關閉郵件服務：chkconfig -level 12345 sendmail off關閉圖形登錄服務：編輯/etc/inittab文件，修改為id:3:initdefault:關閉X font服務：chkconfig xfs offLinux設置遠程登錄安全禁用telnet,使用SSH進行管理限制能夠登錄本機的IP地址禁止root用戶遠程登陸限定信任主機修改banner信息遠程登錄安全使用SSH/限制登錄IP禁用telnet,使用SSH進行管理開啟s

11、sh服務：#service sshd start限制能夠登錄本機的IP地址#vi /etc/ssh/sshd_config添加（或修改）：AllowUsers xyz3允許用戶xyz通過地址3來登錄本機AllowUsers *192.168.*.*僅允許/16網段所有用戶通過ssh訪問。遠程登錄安全禁止root/限定信任主機禁止root用戶遠程登陸#cat /etc/ssh/sshd_config確保PermitRootLogin為no限定信任主機#cat /etc/hosts.equiv#cat /$HOME/.rhosts查看上述兩個文件中的主機，刪除其中不必要的主機，防止存在多余的信任主

12、機或直接關閉所有R系列遠程服務rloginrshrexec遠程登錄安全修改banner信息系統banner信息一般會給出操作系統名稱、版本號、主機名稱等修改banner信息查看修改sshd_config#vi /etc/ssh/sshd_config如存在，則將banner字段設置為NONE查看修改motd：#vi /etc/motd 該處內容將作為banner信息顯示給登錄用戶。查看該文件內容，刪除其中的內容，或更新成自己想要添加的內容Linux設置文件和目錄安全設置文件目錄權限設置默認umask值檢查SUID/SGID文件文件和目錄安全設置文件目錄權限保護重要的文件目錄，限制用戶訪問設置文

13、件的屬主和屬性以進行保護極其重要的文件或目錄可以設置為不可改變屬性chattr+i/etc/passwd臨時文件不應該有執行權限常見文件權限及屬性的操作命令：chmod、chown、chattr文件和目錄安全設置默認umask值設置新創建文件的默認權限掩碼可以根據要求設置新文件的默認訪問權限，如僅允許文件屬主訪問，不允許其他人訪問umask設置的是權限“補碼”設置方法使用umask命令如 #umask 066編輯/etc/profile文件，設置umask值文件和目錄安全檢查SUID/SGID文件SUID/SGID的程序在運行時，將有效用戶ID改變為該程序的所有者(組)ID。因而可能存在一定的

14、安全隱患找出系統中所有含s“位的程序,把不必要的”s“位去掉,或者把根本不用的直接刪除,這樣可以防止用戶濫用及提升權限的可能性,其命令如下：查找SUID可執行程序#find/-perm-4000-user0ls查找SGID程序#find/-perm-2000-user0lsLinux設置系統日志配置（1）保護日志文件審查日志中不正常情況非常規時間登錄日志殘缺Su的使用服務的啟動情況Linux設置系統日志配置（2）啟用syslogd服務配置日志存儲策略打開/etc/logrotate.d/syslog文件，檢查其對日志存儲空間的大小和時間的設置使用syslog設備Syslog.conf設置使用s

15、yslog日志服務器Linux設置使用安全軟件啟用主機防火墻使用最新版本安全軟件使用安全軟件使用主機防火墻（1）Linux下的防火墻框架iptables包過濾NAT數據包處理Iptables基本規則Iptables -t table command matchtargetIptables基本應用Iptables A INPUT s j ACCEPTIptables D INPUT p tcp -dport 80 j DROP使用安全軟件使用主機防火墻（2）Iptables已內嵌到Linux系統中功能較強大建議設置Linux開機后自動啟動該防火墻使用安全軟件使用最新版本安全軟件使用官方安全軟件o

16、pensshopensslsnort使用最新版軟件及時消除安全隱患知識域：操作系統安全知識子域：安全操作系統了解安全操作系統的發展了解安全操作系統的設計原則安全操作系統概念操作系統安全安全設置安全增強安全操作系統可信計算機系統評價標準（Truested Computer Security Evaluation Critria，TCSEC）可信操作系統安全操作系統研究概況1965年，Multics1973年，安全模型BLP模型：信息的保密性Biba模型：信息的完整性1969年，Adept-501986年，SeeureXeniX，B21987年，TMach(TrustedMach)，B3近年來Tr

17、usted BSDSELinuxAppArmorSELinux簡介SELinux安全增強Linux（Security Enhanced Linux）安全子系統強制訪問控制（MAC）美國國家安全局開發以GNU GPL形式開源發布Linux系統安全用戶類型Linux用戶類型分為三類：超級用戶、系統用戶和普通用戶超級用戶：用戶名為root或USER ID（UID）為0的賬號，具有一切權限，可以操作系統中的所有資源。Root用戶可以進行基礎的文件操作及特殊的系統管理，可以修改系統中的任何文件。系統用戶：正常運行系統時使用的賬戶。每個進程運行在系統里都有一個相應的屬主，比如某個進程以何種身份運行，這些身

18、份就是系統里對應的用戶賬號。普通用戶：普通使用者能使用Linux的大部分資源，一些特定的權限受到控制。用戶只對自己的目錄有寫權限，讀寫權限受一定的限制，有效保證了系統安全性。賬戶安全Linux系統安全用戶管理Linux用戶管理涉及的文件：用戶賬號文件/etc/passwd、用戶密碼文件/etc/shadow、用戶組文件/etc/group。/etc/passwd文件中的每一行代表一個單獨的用戶，每一個用戶的屬性信息不同字段之間用“:”隔開。從左到右依次是用戶名、密碼、用戶ID、主組ID、用戶全稱、主目錄和登錄shell。為了保證安全，/etc/passwd文件中的用戶密碼均使用“x”代替，而所

19、有密碼均經過加密后保存在/etc/shadow文件中如圖所示，用戶root的用戶名為“root”，密碼屏蔽，用戶ID為0，主組ID為0，用戶全稱為root，主目錄位于/root，登錄Shell為/bin/bash。賬戶安全Linux系統安全2. /etc/shadow文件格式：用戶名：密碼：上次修改密碼的時間：兩次修改密碼間隔的最少天數：兩次修改密碼間隔的最多天數：提前幾天警告用戶密碼過期：密碼過期幾天禁用用戶：過期時間：保留字段系統中所有用戶的用戶密碼保存在/etc/shadow文件中。所有的密碼都是經過MD5算法加密處理過的，只有具備超級用戶權限才能查看這個文件3./etc/skel目錄在

20、Linux系統中創建一個新用戶時，系統會自動把/etc/skel目錄下的所有內容（包括目錄、文件等）復制到新用戶的主目錄“/home/”下。/etc/skel目錄是一個配置文件框架，里面包含了一些默認配置文件，如.bashrc、 .bash_profile等賬戶安全Linux系統安全用戶組屬性1.組賬戶信息文件 /etc/group/etc/group文件中保存的是系統中所有組的屬性信息。每一行代表一個單獨的組，每一個組的屬性信息分別用“:”隔開。各字段從左到右依次是組名、密碼、組ID和用戶列表。2. 組密碼信息文件 /etc/gshadow/etc/gshadow文件用于保存系統中所有組的密

21、碼和/etc/shadow一樣所有的密碼都經過MD5算法加密處理，只有超級用戶才能查看。賬戶安全Linux系統安全用戶管理1. useradd-u 指定新建用戶的用戶ID。-c 指定新建用戶的用戶全稱。-d 指定新建用戶的主目錄。-g 指定新建用戶的主組。-G 指定新建用戶所屬的附加組。-s 指定新建用戶的登錄shell。-m 強制建立用戶的主目錄。賬戶安全2.passwd設置、修改用戶密碼，還可以鎖定用戶賬戶等。passwd命令的常用選項包括：-d 刪除用戶密碼。-l 鎖定指定用戶賬戶。-u 解除指定用戶賬戶鎖定。-S 顯示指定用戶賬戶的狀態。對于普通用戶，要修改其他用戶的密碼，首先需要獲得

22、權限（使用sudo命令），否則只能修改自己的賬戶密碼。Linux系統安全3.usermod使用usermod命令可以修改用戶的屬性信息。usermod命令的常用選項包括：-c 指定用戶的用戶全稱。-d 指定用戶的主目錄。-u 修改用戶的用戶ID。-g 指定用戶的主組。-G 指定用戶所屬的附加組。-s 指定用戶的登錄shell。-l 更改用戶的用戶名。賬戶安全4.userdel使用userdel命令可以刪除指定用戶賬戶，配合“-r”命令選項，還可以將該用戶的主目錄一起刪除。例如，若管理員需要把系統中的test2用戶及其主目錄刪除，則可以執行命令 userdel -r test2Linux系統安全

23、用戶組管理用戶組就是具有相同特征的用戶集合。每個用戶都有一個用戶組，系統能對一個用戶組中的所有用戶進行集中管理，可以把相同屬性的用戶定義到同一用戶組，并賦予該用戶組一定的操作權限，這樣用戶組下的用戶對該文件或目目錄都具備了相同的權限。通過對/etc/group文件的更新實現對用戶組的添加、修改和刪除。一個用戶可以屬于多個組，/etc/passwd中定義的用戶組為基本組，用戶所屬的組有基本組和附加組。如果一個用戶屬于多個組，則該用戶所擁有的權限是它所在的組的權限之和。賬戶安全Linux系統安全1.groupadd使用groupadd命令，用戶可以創建一個私人組。執行這一命令的結果就是在/etc/

24、group和/etc/gshadow文件中增加一行信息。例如：創建組ID為1111的用戶組test，可以執行：groupadd g 1111 test2. groupmod使用groupmod命令可以修改指定組的屬性。例如：要將系統中已經存在的組ID為1111的組test修改組名為test1、組ID為1112，可執行命令：groupmod g 1112 n test1 test3.groupdel使用groupdel命令可以刪除指定組。例如要將系統中已經存在的組test1刪除，可執行命令：groupdel test1賬戶安全Linux系統安全用戶口令管理 空口令風險：用戶賬戶如果設置了空口令，

25、其它用戶可以不需要任何技術手段進入計算機，訪問瀏覽空口令用戶下的任何數據。 使用下面命令檢查空口令賬戶是否存在 rootlocalhost # awk -F: ($2=) print $1 /etc/shadow賬戶安全Linux系統安全用戶口令策略管理為防止用戶使用弱口令或空口令，應在操作系統中配置安全策略，防止該類事件發生。除此之外還應對帳號口令的生存期，root的遠程登錄，禁止su到root等策略進行設置口令復雜度策略設置Vi /etc/pam.d/system-auth password requisite pam_cracklib.so 將其修改為:password requisit

26、e pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8注釋：至少包含一個數字、一個小寫字母、一個大寫字母、一個特殊字符、且密碼長度=8賬戶安全Linux系統安全口令生存期Vi /etc/login.defs PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數不大于90 PASS_MIN_DAYS 10 #新建用戶的密碼最短使用天數為10 PASS_WARN_AGE 7 #新建用戶的密碼到期提前提醒天數為7Root遠程登錄 vi /etc/ssh/ssh

27、d_config PermitRootLogin no #則禁止了root從ssh登錄。賬戶安全Linux系統安全禁止su到rootVi /etc/pam.d/su 添加下面兩行 authsufficientpam_rootok.so authrequiredpam_wheel.so group=wheel設置用戶登錄失敗N次鎖定Vi /etc/pam.d/sshdauth required pam_tally2.so deny=3 unlock_time=120 even_deny_root root_unlock_time=60賬戶安全Linux系統安全Linux文件系統簡介在linux操

28、作系統中，文件系統采用梳妝的層次的目錄結構，最頂層是根目錄，用“/”表示，往下延伸其各級子目錄文件系統安全Linux系統安全文件系統安全系統目錄文件系統說明/rootroot 文件系統是文件系統的頂級目錄。它必須包含在掛載其它文件系統前需要用來啟動 Linux 系統的全部文件。它必須包含需要用來啟動剩余文件系統的全部可執行文件和庫。文件系統啟動以后，所有其他文件系統作為 root 文件系統的子目錄掛載到標準的、預定義好的掛載點上。/bin目錄包含用戶的可執行文件/boot包含啟動linux系統所需要的靜態引導程序和內核可執行文件以及配置文件/dev包含每一個鏈接到系統的硬件設備的設備文件，不是

29、驅動，而是計算機上能夠訪問的設備/etc包含主機計算機的本地系統配置文件/home主目錄存儲用戶文件，每一個用戶都有一個位于/home目錄中的子目錄/lib包含啟動系統所需要的共享庫文件/opt可選文件/sbin系統二進制文件，用于系統管理的可執行文件/tmp臨時目錄/var可變數據文件存儲，包括日志文件、mysql和其他的數據庫文件/usr包含可共享、只讀的文件，包括可執行的二進制文件和庫等Linux系統安全Linux主要的文件系統類型文件系統安全文件系統類型文件系統說明Ext第一個專門針對liunx的文件系統Ext2為解決ext文件系統缺陷設計的高性能、可擴展的文件系統Ext3日志文件系統

30、，ext2的升級版Ext4Ext4提供了更為可靠性的功能swapLinux的交換分區NFSLinux的網絡文件系統smb支持smb協議的網絡文件系統vfat與windows系統兼容的linux文件系統ntfswindowsNT所采用的獨特的文件系統結構procLinux操作系統中的一種基于內存的偽文件系統xfs由SGI開發的一個全64位、快速、安全的日志文件系統Linux系統安全查看文件屬性 ls命令-a：列出指定目錄下的所有文件和子目錄（包括以“.”開頭的隱含文件）。-b：如果文件或目錄名中有不可顯示的字符時，顯示該字符的八進制值。-c：以文件狀態信息的最后一次更新時間進行排序。-d：如果是

31、目錄，則顯示目錄的屬性而不是目錄下的內容。-g：與-l選項類似，但不顯示文件或目錄的所有者信息。-G：與-l選項類似，但不顯示文件或目錄所有者的用戶組信息。-l：使用長格式顯示文件或目錄的詳細屬性信息。-n：與-l選項類似，但以UID和GID代替文件或目錄所有者和用戶組信息。-R：以遞歸方式顯示目錄下的各級子目錄和文件。文件系統安全Linux系統安全系統文件屬性第1部分：由10個字符組成，第一個字符用于標識文件的類型，其中“-”表示普通文件，d表示目錄，l表示鏈接文件，s表示套接字文件，p表示命名管道文件，c表示字符設備文件，b表示塊設備文件。第2部分：以冒號分隔，冒號前的是文件的所有者，冒號

32、后為文件所有者的用戶組。在圖中，文件的所有者是root，用戶組也是root。第3部分：表示文件的鏈接數第4部分：以字節為單位的文件大小第5、6、7部分：表示文件最后更新的時間第8部分：文件名文件系統安全Linux系統安全文件類型Linux有4種基本文件系統類型：普通文件、目錄文件、鏈接文件和特殊文件。通過ls-l命令可以返回文件的相關屬性，其中第一個字符就是用于標識文件的類型。普通文件普通文件包括文本文件、程序代碼文件、Shell腳本、二進制的可執行文件等，系統中的絕大部分文件都屬于這種類型。目錄文件目錄是被作為一個文件來對待，其標識值為d。目錄下可以包括文件和子目錄。鏈接文件鏈接文件其實是一

33、個指向文件的指針，通過鏈接文件，用戶訪問的將會是指針所指向的文件。文件系統安全Linux系統安全文件類型特殊文件在Linux系統中有以下3種特殊文件。套接字（socket）文件：通過套接字文件，可以實現網絡通信。套接字文件的標識值為s。命名管道文件：通過管道文件，可以實現進程間的通信。命名管道文件的標識值為p。設備文件：Linux為每個設備分配一個設備文件，它們存放于/dev目錄下，分字符設備文件和塊設備文件。其中，鍵盤、tty等屬于字符設備，其標識值為c；內存、磁盤等屬于塊設備文件，標識值為b。文件系統安全Linux系統安全文件和目錄權限在Linux中的每一個文件或目錄都有自己的訪問權限，這

34、些訪問權限決定了誰能訪問和如何訪問這些文件和目錄。文件系統安全權限文件目錄r可以查看文件的內容，可以使用cat、more、less等命令查看文件的內容可以列出目錄中的內容，可以使用ls命令列出目錄內容w可以更改文件的內容，可以使用vi等文本編輯工具編輯文件的內容可以在目錄中添加刪除文件，可以使用mv、rm等命令對目錄中的文件進行操作x可以執行文件，需要同時具有r的權限可以進入目錄，使用cd等命令Linux系統安全文件和目錄權限文件和目錄權限模型的控制對象包括3種用戶，分別為文件的所有者、用戶組用戶和其他用戶。文件所有者：文件所有者默認就是創建該文件的用戶。文件屬組：屬于該用戶組中的所有用戶，文

35、件的屬組默認就是文件所有者所屬的用戶組其它用戶：除上述兩類用戶以外的系統中的所有用戶。文件系統安全Linux系統安全更改文件和目錄的所有者chown命令用于更改文件或者目錄的所有者和屬組，包括目錄下的各級子目錄和文件。命令格式如下：Chown 【option】owner:group file如果更改目錄及其中各級子目錄和文件的所有者和屬性Chown R root：users /test文件系統安全Linux系統安全更改文件和目錄的權限chmod命令用于更改文件或者目錄的訪問權限，包括目錄下的各級子目錄和文件。命令格式如下：Chmod 【option】 MODE【，mode】fileChmod命

36、令可以通過以下兩種方式來更改文件和目錄的訪問權限字符方式：使用u、g、o和a分別代表文件所有者、屬組、其它用戶和所有用戶數字方式：chmod nnn file文件系統安全Linux系統安全字符方式示例文件系統安全命令說明Chmod u+x file1為所有者添加file1文件的執行權限Chmod g+w，o+w file1 file2為屬組和其它用戶添加文件file1和file2的更改權限Chmod a=rwx fiile1設置所有用戶對file1文件的權限為可讀、可修改和可執行Chmod o-w file1取消其他用戶對file1文件的可修改權限Chmod o=1 file1取消其他用戶訪問

37、file1文件的所有權限Chmod R u+w dir1為目錄所有者添加對目錄dir1的添加、刪除文件權限Linux系統安全2. 數字方式示例文件系統安全權限數值r4w2x1Linux系統安全設置文件和目錄的默認權限對于每個新創建的文件和目錄，系統會為它們設置默認的訪問權限。通過使用umask命令可以更改文件或目錄的默認權限Umask 027在創建文件或目錄時，系統會先檢查當前設置的umask值，然后把默認權限的值與權限掩碼值相減，就得到新創建的文件或目錄的訪問權限。在Linux中，每個用戶都有自己的umask值，所以可以通過為不同安全級別的用戶設置不同的umask值，來靈活控制用戶的默認訪問

38、權限。一般常見的做法就是在.bash_profile配置文件中設置umask值用戶每次登錄系統，都必須先讀取.bash_profile配置文件的內容并執行，所以每次用戶登錄完成后，新的umask值都會立即生效。文件系統安全Linux系統安全日志文件系統已經成為linux中不可缺失的一部分。對于日常服務器的運行狀態是否正常、遭受攻擊時如何查找被攻擊的痕跡、軟件啟動失敗是如何查找原因等情況，linux日志系統都提供了相應的解決方案。日志系統可以記錄當前系統中發生的各種事件，比如登錄日志記錄每次登錄的來源和時間、系統每次啟動和關閉的情況、系統錯誤等。日志的主要用途：系統審計：記錄登錄系統的用戶和日常

39、行為監測追蹤：系統遭受到攻擊時如何追蹤溯源到攻擊者分析統計：系統的性能、錯誤等統計日志分析Linux系統安全日志的分類日志分析日志分類日志功能Access-log記錄web服務的訪問日志，error-log是其錯誤日志Acct/pacct記錄用戶命令btmp記錄失敗記錄lastlog記錄最近幾次成功登錄的事件和最后一次不成功的登錄messages服務器的系統日志Sudolog記錄使用sudo發出的命令Utmp記錄當前登錄的每個用戶Wtmp一個用戶每次登錄進入和退出時間的永久記錄Secure記錄系統登錄行為，比如ssh的登錄記錄Linux系統安全日志文件管理日志文件中的信息可能比較煩，但有時特別

40、重要。比如，硬件故障，錯誤配置，網絡入侵等情況發生時，通過查看日志文件可以很輕松地定位問題所在。你必須經常清空日志文件，去掉舊信息，以免磁盤占滿。正確管理日志文件，可使你需要日志文件時能夠訪問到。清空日志文件時另作備分可使你獲得更多審計信息。這些管理工作看起來很枯燥無味將討論的 logrotate、swatch、logcheck 可以幫助你。這些工具各自擅長某一方面，一起使用可為你的系統加一保護層。 日志分析Linux系統安全一般日志文件管理日志文件應記錄盡可能多的信息。 “在中央服務器上記錄日志”一段描述了集中式日志的配置和安全需求。在安全、中心服務器上記錄日志可減輕管理工作，并減少非法入侵

41、的可能。 日志文件應設置只允許 root 可讀的權限。如果日志記錄對任何人可見，其中與軟件包敏感的信息能幫助別人入侵系統。激活日志文件的腳本應包括安全權限設置。 制定日志文件的覆寫計劃。日志文件保存時間應保證使用時還存在，但不能占滿磁盤。只有通過不斷試驗、錯誤提示來決定對系統和當前活動最好的日志保存期。 最重要的一條，閱讀日志文件！通過日志文件排除不必要信息，定位重要信息。先實驗出錯情況，并記錄盡可能多的錯誤信息，再修改腳本文件，使之不再產生不必要信息。當你在日志文件中看到異常記錄時，檢查系統運行情況是必要的，但也需知道，不僅你預期的程序和工具能產生日志信息，logger 程序或用戶程序調用

42、syslog 也可能產生日志信息。日志分析Linux系統安全Logrotatelogrotate 可自動使日志文件循環，刪除其中保存時間最長的文件，并開始新文件。你可用時間調度工具 cron 激活 logrorate；也可為日志文件長度設置閥值，超過閥值時，系統自動激活 logrorate。logrotate 比較靈活，可設置保存舊文件的數目，在執行旋轉(rotate)時，還可選擇日志文件是否壓縮或用郵件發送出去。總之，logrotate 能很好地處理物理文件管理Logrotate配置logrotate 包括以下部分：缺省值，0 或多個日志文件的配置參數，包含其他日志文件配置信息的可選項。 /etc/logrotate.conf日志分析Linux系統安全日志分析第3行weekly 指定所有的日志文件每周轉儲一次。第5行 rotate 4 指定轉儲文件的保留 4份。第7行 errors root 指定錯誤信息發送給root。第9行create 指定 logrota