发信人: netman.bbs@cs3.xmu.edu.cn (邂逅), 信区: cnhacker
标  题: 管理员安全(4)
发信站: cs3 BBS (Mon Jun 16 13:14:26 1997)
转信站: Lilac!ustcnews!ustcnews!sjtunews!cs3
出  处: cs3.xmu.edu.cn

 (4)安全考虑
      将设备处理成文件,使得UNIX程序独立于设备,即程序不必一定要了解正
  使用的设备的任何特性,存取设备也不需要记录长度,块大小,传输速度,网络
  协议等这样一些信息,所有烦人的细节由设备驱动程序去关心考虑,要存取设
  备,程序只须打开设备文件,然后作为普通的UNIX文件来使用.
      从安全的观点来看这样处理很好,因为任何设备上进行的I/O操作只经过
  了少量的渠道(即设备文件).用户不能直接地存取设备.所以如果正确地设置
  了磁盘分区的存取许可,用户就只能通过UNIX文件系统存取磁盘.文件系统有
  内部安全机制(文件许可).不幸的是,如果磁盘分区设备得不正确,任何用户都
  能够写一个程序读磁盘分区中的每个文件,作法很简单:读一i节点,然后以磁
  盘地址表中块号出现的顺序,依次读这些块号指出的存有文件内容的块.故除
  了root以外,决不要使盘分区对任何人可写.因为所有者,文件存取许可方式这
  样一些信息存放于i节点中,任何人只要具有已安装分区的写许可,就能设置任
  何文件的SUID许可,而不管文件的所有者是谁,也不必用chmod()命令,还可避
  过系统建立的安全检查.
      以上所述对内存文件mem,kmem和对换文件swap也是一样的.这些文件含有
  用户信息,一个"耐心"的程序可以将用户信息提取出来.
      要避免磁盘分区(以及其它设备)可读可写,应当在建立设备文件前先用
  umask命令设置文件建立屏蔽值.
      一般情况下,UNIX系统上的终端口对任何人都是可写的,从而使用户可以
  用write命令发送信息.虽然write命令易引起安全方面的问题,但大多数用户
  觉得用write得到其他用户的信息很方便,所以系统将终端设备的存取许可设
  置成对所有用户可写.
      /dev目录应当是755存取许可方式,且属root所有.
      不允许除root外的任何用户读或写盘分区的原则有一例外,即一些程序
  (通常是数据库系统)要求对磁盘分区直接存取,解决这个问题的经验的盘分区
  应当由这种程序专用(不安装文件系统),而且应当告知使用这种程序的用户,
  文件安全保护将由程序自己而不是UNIX文件系统完成.

  (5)find命令
      find命令用于搜索目录树,并对目录树上的所有文件执行某种操作,参数
  是目录名表(指出从哪些起点开始搜索),还可给出一个或多个选项,规定对每
  个文件执行什么操作.
      find . -print 将列出当前工作目录下的目录树的每一个文件.
      find / -user bob -print 将列出在系统中可找到的属于bob用户的所有
           文件.
      find /usr/bob -perm 666 -print 将列出/usr/bob目录树下所有存取许
           可为666的文件.若将666改为-666则将列出所有具有包含了666在内
           的存取许可方式的文件(如777).
      find /usr/bob -type b -print 将列出/usr/bob目录树下所有块特别文
           件(c为字符特别文件).
      find / -user root -perm -4000 -exec ls -l {} \; 是一个较复杂一
           点的命令,-exec COMMAND \;允许对所找到的每个文件运行指定的
           命令COMMAND.若COMMAND中含有{},则{}将由find所找到的文件名替
           换.COMMAND必须以\;结束.
      以上举例介绍find的用法,各选项可组合使用以达到更强的功能.

--
※ 来源:·古庙钟声 cs3.xmu.edu.cn·[FROM: freedom@cs3.xmu.edu.]