出處:賽迪網 作者:茫然的風
文件系統安全應能保障用戶只能執行管理員所要求的操作。也就是說,管理員必須要保障系統程序的安全並且用戶只能在他們被要求的地方執行寫操作。
NFS安全
一定只運行所需要的NFS,並且要打上最新的補丁。在創建你的/etc/exports文件時,一定要盡可能地使用限制訪問標記,如readonly或nosuid。通過全面運用有限資格的主機名,就確保了只有你想要訪問其文件系統的主機可以訪問。
設備安全
設備文件/dev/null, /dev/tty & /dev/console應能完全可寫但卻絕對不可執行。大多數其它設備文件對於普通用戶來說應該是不可讀的且不可寫的。
命令過程安全
用戶萬萬不可執行setuid/setgid安全外殼的寫操作。相反地,用戶應該使用一種語言(如C語言)寫一個編譯的程序。命令過程或腳本應具有完整的路徑名。
程序安全
用戶應該從一個知名的源站點獲得(下載)程序,並確保它沒有被破壞。如果你正編譯你自己的程序,一定要保障你的編譯器沒有被破壞。
基本安全措施
您應該創建最少的可寫入的文件系統(特別是文件或目錄)。一般來說,用戶應該只能在其自己的目錄和/tmp目錄寫入。此外,還要有只能特定用戶組可以寫入的目錄。用這種方法,你就可以控制每一個用戶如何訪問系統的特定區域。
要確保重要的文件只能對授權的人員訪問。 只能在必要的地方使用setuid/setgid。
