Linux使用者安全

1.口令安全

UNIX系統中的/etc/passwd檔案含有全部系統需要知道的關於每個使用者的資訊(加密後的口令也可能存於/etc/shadow檔案中).

/etc/passwd中包含有使用者的登入名稱,經過加密的口令,使用者號,使用者組號,使用者注釋,使用者主目錄和使用者所用的shell程式.其中使用者號(UID)和使用者組號(GID) 用於UNIX系統唯一地標識使用者和同組使用者及使用者的訪 問許可權.

/etc/passwd中存放的加密的口令用於使用者登入時輸入的口令經計算後相比較,符合則允許登入,否則拒絕使用者登入.使用者可用passwd命令修改自己的口令, 不 能直接修改/etc/passwd中的口令部份.

一個好的口令應當至少有6個字元長,不要取用個人資訊(如生日,名字,反向拼字的登入名稱,房間中可見的東西),普通的英語單詞也不好(因為可用字典攻擊法),口令中最好有一些非字母(如數字,標點符號,控制字元等),還要好記一些, 不能寫在紙上或電腦中的檔案中,選擇口令的一個好方法是將兩個不相關的詞用一個數字或控制字元相連,並截斷為8個字元.當然,如果你能記住8位亂碼自然更好.

不應使用同一個口令在不同機器中使用,特別是在不同層級的使用者上使用同一口令,會引起全盤崩潰.使用者應定期改變口令,至少6個月要改變一次,系統管理員可以強制使用者定期做口令修改.

為防止眼明手快的人竊取口令,在輸入口令時應確認無人在身邊.

2.檔案許可權

檔案屬性決定了檔案的被存取權限,即誰能存取或執行該檔案.用ls -l可以列出詳細的檔案資訊,如:

-rwxrwxrwx 1 pat cs440 70 Jul 28 21:12 zombin 包括了檔案許可,檔案連接數,檔案所有者名,檔案相關組名,檔案長度,上次存取日期和檔案名稱.
其中檔案許可分為四部分:

-:表示檔案類型.
第一個rwx:表示檔案屬主的存取權限.
第二個rwx:表示檔案同組使用者的存取權限.
第三個rwx:表示其他使用者的存取權限.
若某種許可被限制則相應的字母換為-.

在許可許可權的執行許可位置上,可能是其它字母,s,S,t,T.s和S可出現在所有者和同組使用者許可模式位置上,與特殊的許可有關,後面將要討論,t和T可出現在其他使用者的許可模式位置上,與"粘貼位"有關而與安全無關.小寫字母(x,s,t) 表示執行許可為允許,負號或大寫字母(-,S或T)表示執行許可為不允許.

改變許可方式可使用chmod命令,並以新許可方式和該檔案名稱為參數.新許可方式以3位8進位數給出,r為4,w為2,x為1.如rwxr-xr--為754.

chmod也有其它方式的參數可直接對某組參數修改,在此不再多說,詳見UNIX 系統的線上手冊.

檔案許可權可用於防止偶然性地重寫或刪除一個重要檔案(即使是屬主自己)!

改變檔案的屬主和組名可用chown和chgrp,但修改後原屬主和組員就無法修改回來了.

3.目錄許可

在UNIX系統中,目錄也是一個檔案,用ls -l列出時,目錄檔案的屬性前面帶一個d,目錄許可也類似於檔案許可,用ls列目錄要有讀許可,在目錄中增刪檔案要有寫許可,進入目錄或將該目錄作路徑分量時要有執行許可,故要使用任一個檔案,必須有該檔案及找到該檔案的路徑上所有目錄分量的相應許可.僅當要開啟一個檔案時,檔案的許可才開始起作用,而rm,mv只要有目錄的搜尋和寫許可, 不需檔案的許可,這一點應注意.

4.umask命令

umask設定使用者檔案和目錄的檔案建立預設屏蔽值,若將此命令放入 .profile檔案,就可控制該使用者後續所建檔案的存取許可.umask命令與chmod命令的作用正好相反,它告訴系統在建立檔案時不給予什麼存取許可.

5.設定使用者ID和同組使用者ID許可

使用者ID許可(SUID)設定和同組使用者ID許可(SGID)可給予可執行檔目標檔案 (只有可執行檔才有意義)當一個進程執行時就被賦於4個編號,以標識該進程隸屬於誰,分別為實際和有效UID,實際和有效GID.有效UID和GID一般和實際的UID和GID相同,有效UID和GID用於系統確定該進程對於檔案的存取許可. 而設定可執行檔的SUID許可將改變上述情況,當設定了SUID時,進程的有效UID 為該可執行檔的所有者的有效UID,而不是執行該程式的使用者的有效UID,因此, 由該程式建立的都有與該程式所有者相同的存取許可.這樣,程式的所有者將可通過程式的控制在有限的範圍內向使用者發表不允許被公眾訪問的資訊.

同樣,SGID是設定有效GID.

用chmod u+s 檔案名稱和chmod u-s檔案名稱來設定和取消SUID設定.用 chmod g+s 檔案名稱和chmod g-s檔案名稱來設定和取消SGID設定.

當檔案設定了SUID和SGID後,chown和chgrp命令將全部取消這些許可.

6.cp mv ln和cpio命令

cp拷貝檔案時,若目的檔案不存在則將同時拷貝源檔案的存取許可,包括SUID 和SGID許可.新拷貝的檔案屬拷貝的使用者所有,故拷貝另人的檔案時應小心,不要被其他使用者的SUID程式破壞自己的檔案安全.

mv移檔案時,新移的檔案存取許可與原檔案相同,mv僅改變檔案名稱.只要使用者有目錄的寫和搜尋許可,就可移走該目錄中某人的SUID程式且不改變其存取許可. 若目錄許可設定不正確,則使用者的SUID程式可被移到一個他不能修改和刪除的目錄中,將出現安全性漏洞.

ln為現有檔案建立一個鏈,即建立一個引用同一檔案的新名字.如目的檔案已經存在,則該檔案被刪除而代之以新的鏈,或存在的目的檔案不允許使用者寫它, 則請求使用者確認是否刪除該檔案,只允許在同一檔案系統內建鏈.若要刪除一個 SUID檔案,就要確認檔案的連結數,只有一個鏈才能確保該檔案被刪除.若SUID檔案已有多個鏈,一種方法是改變其存取許可方式,將同時修改所有鏈的存取許可, 也可以chmod 000 檔案名稱,不僅取消了檔案的SUID和SGID許可,而且也取消了檔案的全部鏈.要想找到誰與自己的SUID程式建立了鏈,不要立刻刪除該程式,系統管理員可用ncheck命令找到該程式的其它鏈.

cpio命令用於將目錄結構拷貝到一個普通檔案中,而後可再用cpio命令將該普通檔案轉成目錄結構.用-i選項時,cpio從標準輸入裝置讀檔案和目錄名表,並將其內容按檔案格式拷貝到標準輸出裝置,使用-o選項時,cpio從標準輸入裝置讀取先已建好的檔案,重建目錄結構.cpio命令常用以下命令做一完整的目錄系統檔案:

find fromdir -print　cpio -o > archive

根據檔案檔案重建一個目錄結構命令為:

cpio -id < archive

cpio的安全約定如下:

(1)檔案檔案存放每個檔案的資訊,包括檔案所有者,小組使用者,最後修改時 間,最後存取時間,檔案存取許可方式.

*根據檔案建立的檔案保持存放於檔案中的存取許可方式.

*從檔案中提取的每個檔案的所有者和小組使用者佈建給運行cpio -i命令 的使用者,而不是設定給檔案中指出的所有者和小組使用者.

*當運行cpio -i命令的使用者是root時,被建立的檔案的所有者和小組使用者 是檔案檔案所指出的.

*檔案中的SUID/SGID檔案被重建時,保持SUID和SGID許可,如果重建檔案 的使用者不是root,SUID/SGID許可是檔案檔案指出的使用者/小組的許可.

(2)現存檔案與cpio檔案中的檔案同名時,若現存檔案比檔案中的檔案更新, 這些檔案將不被重寫.

(3)如果用修改選項U,則同名的現存的檔案將被重寫.可能會發生一件很奇怪的事:如被重寫的檔案原與另一個檔案建了鏈,檔案被重寫後鏈並不斷 開,換言之,該檔案的鏈將保持,因此,該檔案的所有鏈實際指向從檔案中提取出來的檔案,運行cpio無條件地重寫現存檔案以及改變鏈的指向.

(4)cpio檔案中可含的全路徑名或父目錄名給出的檔案.

7.su和newgrp命令

(1)su命令:可不必登出戶頭而將另一使用者又登入進入系統,作為另一使用者工作. 它將啟動一新的shell並將有效和實際的UID和GID設定給另一使用者.因此必須嚴格將root口令保密.

(2)newgrp命令:與su相似,用於修改當前所處的組名.

8.檔案加密

crypt命令可提供給使用者以加密檔案,使用一個關鍵詞將標準輸入的資訊編碼為不可讀的雜亂字串,送到標準輸出裝置.再次使用此命令,用同一關鍵詞作用於加密後的檔案,可恢複檔案內容.

一般來說,在檔案加密後,應刪除原始檔案,只留下加密後的版本,且不能忘記加密關鍵詞.

在vi中一般都有加密功能,用vi -x命令可編輯加密後的檔案.關於加密關鍵詞的選取規則與口令的選取規則相同.

由於crypt程式可能被做成特洛依木馬,故不宜用口令做為關鍵詞.最好在加密前用pack或compress命令對檔案進行壓縮後再加密.

9.其它安全問題

(1)使用者的.profile檔案

由於使用者的HOME目錄下的.profile檔案在使用者登入時就被執行.若該檔案 對其他人是可寫的 則系統的任何使用者都能修改此檔案,使其按自己的要求 工作.這樣可能使得其他使用者具有該使用者相同的許可權.

(2)ls -a

此命令用於列出目前的目錄中的全部檔案,包括檔案名稱以.開頭的檔案,查看 所有檔案的存取許可方式和檔案所有者,任何不屬於自己但存在於自己的 目錄中的檔案都應懷疑和追究.

(3).exrc檔案 為編輯程式的初始設定檔案,使用編輯檔案後,首先尋找$HOME/.exrc檔案和 ./.exrc檔案,若該檔案是在$HOME目錄中找到,則可像.profile一樣控制它的存取方式,若在一個自己不能控制的目錄中,運行編輯程式,則可能運行 其他人的.exrc檔案,或許該.exrc檔案存在那裡正是為了損害他人的檔案安全.為了保證所編輯檔案的安全,最好不要在不屬於自己或其他人可寫的 目錄中運行任何編輯程式.

(4)暫存檔案和目錄

在UNIX系統中臨時目錄為/tmp和/usr/tmp,對於程式員和許多系統命令都使用它們,如果用這些目錄存放暫存檔案,別的使用者可能會破壞這些檔案. 使用暫存檔案最好將檔案檢測值定義為007,但最保險的方法是建立自己的暫存檔案和目錄:$HOME/tmp,不要將重要檔案存放於公用的臨時目錄.

(5)UUCP和其它網路

UUCP命令用於將檔案從一個UNIX系統傳送到另一個UNIX系統,通過UUCP傳送的檔案通常存於/usr/spool/uucppublic/login目錄,login是使用者的登入名稱,該目錄存取許可為777,通過網路傳輸並存放於此目錄的檔案屬於 UUCP所有,檔案存取許可為666和777,使用者應當將通過UUCP傳送的檔案加密,並儘快移到自己的目錄中.其它網路將檔案傳送到使用者HOME目錄下的 rjc目錄中.該目錄應對其他人是可寫可搜尋的,但不必是可讀的,因而使用者的rjc目錄的存取許可方式應為733,允許程式在其中建立檔案.同樣,傳送 的檔案也應加密並儘快移到自己的目錄中.

(6)特絡依木馬

在UNIX系統安全中,用特絡依木馬來代表一種程式,這種程式在完成某種具 有明顯意圖的功能時,還破壞使用者的安全.如果PATH設定為先搜尋系統目 錄,則受特絡依木馬的攻擊會大大減少.如模似的crypt程式.

(7)誘騙

類似於特絡依木馬,模似一些東西使使用者泄漏一些資訊,不同的是,它由某 人執行,等待無警覺的使用者來上當.如模似的login.

(電腦病毒

電腦病毒通過把其它程式變成病毒從而傳染系統的,可以迅速地擴散,特 別是系統管理員的粗心大意,作為root運行一個被感染的程式時.實驗表 明,一個病毒可在一個小時內(平均少於30分鐘)取得root許可權.

(9)要離開自己已登入的終端

除非能對終端上鎖,否則一定要登出戶頭.

(10)智能終端

由於智能終端有send和enter換碼序列,告訴終端送當前行給系統,就像是 使用者敲入的一樣.這是一種危險的能力,其他人可用write命令發送資訊給 本使用者終端,資訊中如含有以下的換碼序列:

移游標到新行(換行)

在螢幕上顯示"rm -r *"

將該行送給系統

後果大家可以想象.

禁止其他使用者發送資訊的方法是使用mesg命令,mesg n不允許其他使用者發 資訊,mesg y允許其他使用者發資訊.即使如此仍是有換碼序列的問題存在, 任何一個使用者用mail命令發送同樣一組換碼序列,不同的要用!rm -r *替 換rm -r *.mail將以!開頭的行解釋為一條shell命令,啟動shell,由shell 解釋該行的其它部分,這被稱為shell換碼.為避免mail命令發送換碼序列到自己的終端,可建立一個過濾程式,在讀mail檔案之前先運行過濾程式, 對mail檔案進行處理:
myname="$LOGNAME";
tr -d[01-07][-13-37]>$HOME/mailbox;
> /usr/mail/$myname;
mail -f $HOME/mailbox

其中tr將標準輸入的字元轉換手寫到標準輸出中.這隻是一個簡單的思路,

從原則上來說,此程式應為一C程式,以避免破壞正發送到的檔案,可用鎖文 件方式實現.

(11)斷開與系統的聯結

使用者應在看到系統確認使用者登入登出後再離開以免在使用者未登出時由他人 潛入.

(12)cu命令

該命令使使用者能從一個UNIX系統登入到另一個UNIX系統,此時,在遠地系統 中登出使用者後還必須輸入"~"後斷行符號,以斷開cu和遠地系統的聯結. cu還有兩個安全問題:

*如本機安全性弱於遠地機,不提倡用cu去登入遠地機,以免由於本地機的 不安全而影響較安全的遠地機.

*由於cu的老版本處理"~"的方法不完善,從安全性強的系統調用安全性弱 的系統時,會使弱系統的使用者使用強系統使用者的cu傳送強系統的 /etc/passwd檔案,除非確信正在使用的cu是正確版本,否則不要調用弱系 統.

10.保持戶頭安全的要點

(1)保持口令的安全
*不要將口令寫下來.
*不要將口令存於終端功能鍵或MODEM的字串儲存空間中.
*不要選取顯而易見的資訊作口令.
*不要讓別人知道.
*不要交替使用兩個口令.
*不要在不同系統上使用同一口令.
*不要讓人看見自己在輸入口令.

(2)不要讓自己的檔案或目錄可被他人寫.
*如果不信任本組使用者,umask設定為022.
*確保自己的.profile除自己外對他人都不可讀寫.
*臨時目錄最好不用於存放重要檔案.
*確保HOME目錄對任何人不可寫.
*uucp傳輸的檔案應加密,並儘快私人化.

(3)若不想要其他使用者讀自己的檔案或目錄,就要使自己的檔案和目錄不允許 任何人讀.
*umask設定為006/007.
*若不允許同組使用者存取自己的檔案和目錄,umask設定為077.
*暫存檔案按當前umask設定,存放重要資料到暫存檔案的程式,就被寫成能 確保暫存檔案對其他使用者不可讀.
*確保HOME目錄對每個使用者不可讀.

(4)不要寫SUID/SGID程式.

(5)小心地拷貝和移檔案.
*cp拷貝檔案時,記住目的檔案的許可方式將和檔案相同,包括SUID/SGID許 可在內,如目的檔案已存在,則目的檔案的存取許可和所有者均不變.
*mv移檔案時,記住目的檔案的許可方式將和檔案相同,包括SUID/SGID許可 在內,若在同一檔案系統內移檔案,目的檔案的所有者和小組都不變,否 則,目的檔案的所有者和小組將設定成本使用者的有效UID和GID.
*小心使用cpio命令,它能複蓋不在本使用者目前的目錄結構中的檔案,可用t選 項首先列出要被拷貝的檔案.

(6)刪除一個SUID/SGID程式時,先檢查該程式的連結數,如有多個鏈,則將存取 許可方式改為000,然後再刪除該程式,或先寫空該程式再刪除,也可將該程 序的i結點號給系統管理員去尋找其他鏈.

(7)用crypt加密不願讓任何使用者(包括超級使用者)看的檔案.
*不要將關鍵詞做為命令變數.
*用ed -x或vi -x編輯加密檔案.

(8)除了信任的使用者外,不要運行其他使用者的程式.

(9)在自己的PATH中,將系統目錄放在前面.

(10)不要離開自己登入的終端.

(11)若有智能終端,當心來自其他使用者,包括write命令,mail命令和其他使用者 檔案的資訊中有換碼序列.

(12)用CTRL+D或exit退出後,在斷開與系統的聯結前等待看到login:提示.

(13)注意cu版本.
*不要用cu調用安全性更強的系統.
*除非確信cu不會被誘騙去傳送檔案,否則不要用cu調用安全性較弱的系統.