RH413企业安全加固 第5章 管理文件系统
2016-01-18 15:46
274 查看
第5章管理文件系统
1、文件系统的属性和挂载选项
1、文件系统的挂载选项
1) nodev选项
如果设备没有这个选项是不能生成/dev/下的设备的
2) noexec选项
代表这个设备不可以被执行
3) noauto选项
代表这个设备被忽略(自动挂载会忽略这个设备)
2、使用cp /bin/ping 命令
1) 使用mount命令重新挂载带noexec选项(注意:红字)
[root@student ~]# mount -o remount,noexec /mnt
[root@student ~]# mount
/dev/sda3 on / type ext4 (rw)
proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
devpts on /dev/pts type devpts (rw,gid=5,mode=620)
tmpfs on /dev/shm type tmpfs (rw,rootcontext="system_u:object_r:tmpfs_t:s0")
/dev/sda1 on /boot type ext4 (rw)
none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)
sunrpc on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw)
gvfs-fuse-daemon on /root/.gvfs type fuse.gvfs-fuse-daemon (rw,nosuid,nodev)
/dev/sr0 on /media/RHEL_6.4 x86_64 Disc 1 type iso9660 (ro,nosuid,nodev,uhelper=udisks,uid=0,gid=0,iocharset=utf8,mode=0400,dmode=0500)
/dev/mapper/sdd5 on /mnt type ext4 (rw,noexec)
2) 在/mnt 目录下执行ping命令
[root@student ~]# cp /bin/ping /mnt
[root@student ~]# cd /mnt
[root@student mnt]# ls
lost+found ping
[root@student mnt]# ./ping 127.0.0.1
-bash: ./ping: Permission denied
3) 查看ping的权限
[root@student mnt]# ls -l
total 56
drwx------. 2 root root 16384 Jan 17 08:18 lost+found
-rwxr-xr-x. 1 root root 40760 Jan 17 09:58 ping
4) 再次使用mount的命令把noexec去掉
[root@student ~]# mount -o remount /mnt
[root@student ~]# cd /mnt/
[root@student mnt]# ping 127.0.0.1
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.237 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.064 ms
以上4个步骤说明使用了noexec选项是不允许你使用某个二进制的文件
3、挂载选项带acl使用命令tune2fs
[root@student ~]# tune2fs -o acl /dev/mapper/sdd5
tune2fs 1.41.12 (17-May-2010)
[root@student ~]# tune2fs -l /dev/mapper/sdd5
tune2fs 1.41.12 (17-May-2010)
Filesystem volume name: <none>
Last mounted on: /mnt
Filesystem UUID: 62ad34c8-d172-4fce-8664-c56db3b4d6ac
Filesystem magic number: 0xEF53
Filesystem revision #: 1 (dynamic)
Filesystem features: has_journal ext_attr resize_inode dir_index filetype needs_recovery extent flex_bg sparse_super large_file huge_file uninit_bg dir_nlink extra_isize
Filesystem flags: signed_directory_hash
Default mount options: acl
4、文件系统的属性使用命令lsattr和chattr
1)
[root@student mnt]# touch aa
[root@student mnt]# lsattr aa
-------------e- aa
“e”代表映射一个块到你设备上去( 表示:操作系统的特殊权限)
2)
[root@student mnt]# chattr +a aa
[root@student mnt]# lsattr aa
-----a-------e- aa
[root@student mnt]# echo test >> aa
[root@student mnt]# echo test > aa
-bash: aa: Operation not permitted
[root@student mnt]# rm -rf aa
rm: cannot remove `aa': Operation not permitted
“a”代表文件只能被追加不能被删除
3)
[root@student mnt]# chattr -a aa
[root@student mnt]# lsattr aa
-------------e- aa
[root@student mnt]# chattr +i aa
[root@student mnt]# lsattr aa
----i--------e- aa
[root@student mnt]# echo test >> aa
-bash: aa: Permission denied
“i”和“a”不一样地方是不能追加也不能被删除
1、文件系统的属性和挂载选项
1、文件系统的挂载选项
1) nodev选项
如果设备没有这个选项是不能生成/dev/下的设备的
2) noexec选项
代表这个设备不可以被执行
3) noauto选项
代表这个设备被忽略(自动挂载会忽略这个设备)
2、使用cp /bin/ping 命令
1) 使用mount命令重新挂载带noexec选项(注意:红字)
[root@student ~]# mount -o remount,noexec /mnt
[root@student ~]# mount
/dev/sda3 on / type ext4 (rw)
proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
devpts on /dev/pts type devpts (rw,gid=5,mode=620)
tmpfs on /dev/shm type tmpfs (rw,rootcontext="system_u:object_r:tmpfs_t:s0")
/dev/sda1 on /boot type ext4 (rw)
none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)
sunrpc on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw)
gvfs-fuse-daemon on /root/.gvfs type fuse.gvfs-fuse-daemon (rw,nosuid,nodev)
/dev/sr0 on /media/RHEL_6.4 x86_64 Disc 1 type iso9660 (ro,nosuid,nodev,uhelper=udisks,uid=0,gid=0,iocharset=utf8,mode=0400,dmode=0500)
/dev/mapper/sdd5 on /mnt type ext4 (rw,noexec)
2) 在/mnt 目录下执行ping命令
[root@student ~]# cp /bin/ping /mnt
[root@student ~]# cd /mnt
[root@student mnt]# ls
lost+found ping
[root@student mnt]# ./ping 127.0.0.1
-bash: ./ping: Permission denied
3) 查看ping的权限
[root@student mnt]# ls -l
total 56
drwx------. 2 root root 16384 Jan 17 08:18 lost+found
-rwxr-xr-x. 1 root root 40760 Jan 17 09:58 ping
4) 再次使用mount的命令把noexec去掉
[root@student ~]# mount -o remount /mnt
[root@student ~]# cd /mnt/
[root@student mnt]# ping 127.0.0.1
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.237 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.064 ms
以上4个步骤说明使用了noexec选项是不允许你使用某个二进制的文件
3、挂载选项带acl使用命令tune2fs
[root@student ~]# tune2fs -o acl /dev/mapper/sdd5
tune2fs 1.41.12 (17-May-2010)
[root@student ~]# tune2fs -l /dev/mapper/sdd5
tune2fs 1.41.12 (17-May-2010)
Filesystem volume name: <none>
Last mounted on: /mnt
Filesystem UUID: 62ad34c8-d172-4fce-8664-c56db3b4d6ac
Filesystem magic number: 0xEF53
Filesystem revision #: 1 (dynamic)
Filesystem features: has_journal ext_attr resize_inode dir_index filetype needs_recovery extent flex_bg sparse_super large_file huge_file uninit_bg dir_nlink extra_isize
Filesystem flags: signed_directory_hash
Default mount options: acl
4、文件系统的属性使用命令lsattr和chattr
1)
[root@student mnt]# touch aa
[root@student mnt]# lsattr aa
-------------e- aa
“e”代表映射一个块到你设备上去( 表示:操作系统的特殊权限)
2)
[root@student mnt]# chattr +a aa
[root@student mnt]# lsattr aa
-----a-------e- aa
[root@student mnt]# echo test >> aa
[root@student mnt]# echo test > aa
-bash: aa: Operation not permitted
[root@student mnt]# rm -rf aa
rm: cannot remove `aa': Operation not permitted
“a”代表文件只能被追加不能被删除
3)
[root@student mnt]# chattr -a aa
[root@student mnt]# lsattr aa
-------------e- aa
[root@student mnt]# chattr +i aa
[root@student mnt]# lsattr aa
----i--------e- aa
[root@student mnt]# echo test >> aa
-bash: aa: Permission denied
“i”和“a”不一样地方是不能追加也不能被删除
相关文章推荐
- iOS开发~CocoaPods使用详细说明
- 2016 中国结算技术岗面试 一面
- 快排Quick Sort到底有多快?
- java特种兵读书笔记(4-2)——java通信之IO与内存
- Retrofit 源码解读之离线缓存策略的实现
- Java Web学习总结(17)——JSP属性范围
- 自定义View要做的事情
- 如何用 React Native 创建一个iOS APP?(三)
- css3 中transition监听事件
- KMP及其改进算法
- 结合C++11的新特性来解析C++中的枚举与联合
- [转]jQuery UI Dialog Modal Popup Yes No Confirm example in ASP.Net
- Suse11SP3系统平台Crsctl执行关闭时报错处理
- 蓝牙开发板NRF51822入门
- 【记录】IPTV 组播常见的三种实现技术
- 将vim打造成IDE编程环境
- JQuery 动画设计
- css3 动画中display none
- android:Invalid file name: must contain only [a-z0-9_.]错误
- uva 10023