Linux文件结构、权限

Linux系统基本操作

文件结构图及关键文件功能介绍

Linux文件结构

image

Linux文件结构图

image

二级目录

|目录|功能|

| /bin | 放置的是在单人维护模式下能被操作的指令，在/bin底下的指令可以被root与一般账号所使用 |

| /boot | 这个目录只要在放置开机会使用到的文件，包括 Linux核心文件以及开机选单与开机所需配置的文件等等 |

| /dev | 在Linux系统上，任何装置与接口设备都是以文件的形态存在于这个目录当中的 |

| /etc |

系统主要的配置文件几乎都放在这个目录内，例如人员账号密码各种服务的启动档，系统变量配置等

|

| /home | 这个是系统默认的用户家目录（home directory) |

| /lib | /lib放置的则是在开机时会用到的函式库，以及在/lib或/sbin底下的指令会呼叫的函式库 |

| /media | /media底下放置的是可以移出的装置，包括软盘、光盘、DVD等等装置都挂载于此 |

| /opt | 给第三方协议软件放置的目录 |

| /root | 系统管理员（root）的家目录 |

| /sbin | 放置/sbin底下的为开机过程中所需要的，里面包括了开机、修复、还原系统所需的指令。  |

| /srv | srv可视为[service]的缩写，是一些网络服务启动之后，这些服务所需要取用的数据目录 |

| /tmp | 这是让一般使用者或是正在执行的程序暂时放置文件的地方 |

文件

image

账号和权限

系统用户

超级管理员        uid=0

系统默认用户    系统程序使用，从不登录

新建普通用户    uid大于500

image

/etc/passwd

image

/etc/shadow

image

用户管理

image

权限管理

解析文件权限

image

文件系统安全

查看权限：ls -l

image

image

修改权限：

**chmod  **

image

image

**chown**

image

image

**        chgrp**

image

image

设置合理的初始文件权限

很奇妙的UMASK:

image

umask值为0022所对应的默认文件和文件夹创建的缺省权限分别为644和755

文件夹其权限规则为：777-022-755

文件其权限规则为：777-111-022=644（因为文件默认没有执行权限）

修改UMASK值：

1、直接在命令行下 umask xxx(重启后消失）

2、修改/etc/profile中设定的umask值

image

image

系统加固

锁定系统中多余的自建账号

image

检查shadow中空口令账号

检查方法：

image

image

加固方法：

使用命令passwd -l  <用户名> 锁定不必要的账号

使用命令passwd -u <用户名>解锁需要恢复的账号

使用命令passwd <用户名> 为用户设置密码

设置系统密码策略

执行命令查看密码策略设置

image

加固方法：

image

禁用root之外的超级用户

检测方法：

awk -F ":" '(

1}' /etc/passwd

加固方法：

**            passwd  -l  <用户名>**

****

image

****

限制能够su为root的用户

查看是否有auth  required /libsecurity/pam_whell.so这样的配置条目

image

加固方法：


重要文件加上不可改变属性

把重要文件加上不可改变属性

image

Umask安全

image

image

SSH安全：

禁止root用户进行远程登陆

检查方法：

image

加固方法：

image

image

更改服务端口：

image

image

屏蔽SSH登陆banner信息

image

仅允许SSH协议版本2

image

image

防止误使用Ctrl+Alt+Del重启系统

检查方法：

image

加固方法：

image

设置账号锁定登录失败锁定次数、锁定时间

检查方法：

image

加固方法：

image

解锁用户：

image

修改账号TMOUT值，设置自动注销时间

检查方法：

cat /etc/profile | grep TMOUT

加固方法：

vim /etc/profile

增加

TMOUT=600 无操作600秒后自动退出

image

设置BASH保留历史命令的条目

检查方法：

cat /etc/profile | grep HISTSIZE

加固方法：

vim /etc/profile

修改HISTSIZE=5即保留最新执行的5条命令

image

设置注销时删除命令记录

检查方法：

cat /etc/skel/.bash_logout    增加如下行

rm -f $HOME/.bash_history

这样，系统中的所有用户注销时都会删除其命令记录，如果只需要针对某个特定用户，，如root用户进行设置，则可只在该用户的主目录下修改/$HOME/.bash_history文件增加相同的一行即可。

设置系统日志策略配置文件

日志的主要用途是 系统审计 、监测追踪和分析。为了保证 Linux 系 统正常运行、准确解决遇到的各种样统问题，认真地读取日志文件是管理员的一项非常重要任务。

UNIX/ Linux 采用了syslog 工具来实现此功能，如果配置正确的 话，所有在主机上发生的事情都会被记录下来不管是好还是坏的 。

检查方法：

cat /etc/profile | grep HISTSIZE

image

确定syslog服务是否启用

image

查看syslogd的配置，并确认日志文件是否存在

image

阻止系统响应任何从外部/内部来的ping请求

加固方法：

echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all

作者：IT大表哥

链接：https://www.jianshu.com/p/b1f2f0292293

来源：简书

著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。