linux-安全管理-文件系统安全

Linux 安全管理：文件系统安全

文件系统安全是 Linux 系统安全管理中非常重要的组成部分，它通过控制文件和目录的访问权限、加密数据、监控系统活动来保护系统的核心数据和用户数据。确保文件系统安全可以有效防止恶意行为、数据泄露和系统破坏。

1. 文件权限与所有权

在 Linux 系统中，文件的访问控制主要通过文件权限和文件所有权来实现。每个文件和目录都有一个所有者（user）、一个组（group）和权限位（read、write、execute）。

1.1 文件权限

文件的权限分为三类：用户权限、组权限和其他用户权限。每个权限可以分为读取（r）、写入（w）、执行（x）权限。可以通过 ls -l 命令查看文件或目录的权限和所有权：

$ ls -l
-rwxr-xr-- 1 user group 4096 Sep 10 14:00 example.txt

在这个例子中：

• rwx：文件所有者（user）的权限，表示可读、可写和可执行。
• r-x：组（group）的权限，表示只读和可执行。
• r--：其他用户（other）的权限，表示只读。

每个权限位还对应着一个八进制数字：

• r = 4 ，w = 2 ，x = 1 。因此，rwx 表示的八进制权限为 7，r-x 为 5，r-- 为 4。

1.2 修改文件权限和所有权

Linux 提供了几个命令来管理文件权限和所有权：

• chmod：修改文件或目录的权限。可以使用符号或数字方式指定权限。

  使用符号方式：

  chmod u+x file.txt  # 给文件所有者添加执行权限
  chmod g-w file.txt  # 移除组的写权限

  使用八进制方式：

  chmod 755 file.txt  # 设置权限为 rwxr-xr-x

• chown：更改文件或目录的所有者和所属组。

  chown user:group file.txt  # 将文件的所有者改为 user，所属组改为 group

1.3 umask：默认权限

当用户创建新文件或目录时，系统会根据 umask 值来决定默认的权限设置。umask 是一个掩码，它从默认权限中去掉某些权限。例如，默认文件权限通常是 666（rw-rw-rw-），如果 umask 值是 022，则最终权限为 644（rw-r--r--）。

查看当前 umask 值：

umask

设置新的 umask 值：

umask 027  # 默认权限变为 rwxr-x---

2. 特殊权限位：SUID、SGID 和 Sticky 位

除了标准的读写执行权限，Linux 还有三种特殊权限位：SUID（Set User ID）、SGID（Set Group ID）和 Sticky 位，分别用于控制文件或目录的特殊行为。

2.1 SUID（Set User ID）

当文件设置了 SUID 位后，执行该文件的用户会暂时获得文件所有者的权限。这通常用于一些需要提升权限的可执行文件，如 passwd 命令。

查看 SUID 权限：

ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 54256 Sep 10 14:00 /usr/bin/passwd

注意到文件所有者的执行权限位（rwx）中的 x 被替换为 s，表示该文件具有 SUID 属性。

设置 SUID 位：

chmod u+s file.txt

2.2 SGID（Set Group ID）

SGID 位类似于 SUID，但影响的是文件的组权限。当对目录设置 SGID 时，所有在该目录下创建的文件将继承目录的组，而不是创建者的默认组。对文件设置 SGID 时，执行该文件的用户会暂时拥有文件组的权限。

查看 SGID 权限：

ls -l /path/to/directory
drwxr-sr-x 2 user group 4096 Sep 10 14:00 mydir

设置 SGID 位：

chmod g+s mydir

2.3 Sticky 位

Sticky 位通常用于目录上，特别是共享目录。设置 Sticky 位后，只有文件的所有者或根用户才能删除该文件，即使其他用户在同一目录下也拥有写权限。常见的使用场景是 /tmp 目录。

查看 Sticky 位：

ls -ld /tmp
drwxrwxrwt 10 root root 4096 Sep 10 14:00 /tmp

设置 Sticky 位：

chmod +t /mydir

3. 文件加密

文件加密可以保护敏感数据不被未授权的用户访问。Linux 提供了多种文件加密机制，包括文件级别的加密和磁盘分区加密。

3.1 文件级加密：gpg

gpg（GNU Privacy Guard）是 Linux 上常用的文件加密工具。它支持对文件进行加密、签名等操作。

加密文件：

gpg -c file.txt  # 创建 file.txt.gpg 加密文件

输入密码后，gpg 会生成加密文件，原始文件可以根据需求选择保留或删除。

解密文件：

gpg file.txt.gpg  # 需要输入解密密码

3.2 磁盘加密：LUKS

LUKS（Linux Unified Key Setup）是一种常见的磁盘加密方案，适用于对整个磁盘分区进行加密。LUKS 在 Linux 中与 dm-crypt 结合使用，实现透明的磁盘加密。

创建 LUKS 加密分区的基本步骤：

1. 安装 cryptsetup 工具：

   sudo apt install cryptsetup

2. 设置加密分区：

   sudo cryptsetup luksFormat /dev/sdX

3. 打开加密分区：

   sudo cryptsetup luksOpen /dev/sdX encrypted_partition

4. 格式化并挂载加密分区：

   sudo mkfs.ext4 /dev/mapper/encrypted_partition
   sudo mount /dev/mapper/encrypted_partition /mnt

通过这种方式，可以确保整个分区的数据在物理存储介质上是加密的。

4. 文件审计与访问控制

审计系统活动和使用访问控制机制是增强文件系统安全的重要措施。Linux 提供了多种工具用于跟踪文件操作和访问权限。

4.1 auditd：审计系统

auditd 是 Linux 系统审计守护进程，可以记录系统调用、文件访问和其他安全相关的操作。

安装 auditd：

sudo apt install auditd

创建审计规则。例如，监控 /etc/passwd 文件的修改：

sudo auditctl -w /etc/passwd -p wa -k passwd_changes

• -w /etc/passwd：指定要监控的文件。
• -p wa：监控写和属性更改。
• -k passwd_changes：为规则指定一个标签，以便后续查找。

查看审计日志：

sudo ausearch -k passwd_changes

4.2 SELinux 和 AppArmor

SELinux 和 AppArmor 是 Linux 上的两种强制访问控制（MAC）系统，它们通过定义严格的安全策略，限制用户和进程对系统资源的访问。

• SELinux：通常在 Red Hat 系列的发行版（如 CentOS、Fedora）中默认启用，提供了详细的安全策略和基于标签的访问控制。

  查看 SELinux 状态：

  sestatus

  设置文件的 SELinux 上下文：

  chcon -t httpd_sys_content_t /var/www/html/index.html

• AppArmor：通常在 Debian 系列的发行版（如 Ubuntu）中使用，通过配置文件来定义哪些程序可以访问哪些文件。

  查看 AppArmor 状态：

  sudo apparmor_status

  AppArmor 使用的配置文件位于 /etc/apparmor.d/ 目录中，可以通过修改这些文件来定义新的安全策略。

5

. 文件系统监控

除了设置权限和加密，监控文件系统的活动是发现异常行为的重要手段。

5.1 inotify：文件系统事件监控

inotify 是 Linux 内核中的文件系统监控机制，可以实时监控文件或目录的变化。

使用 inotifywait 工具监控目录：

inotifywait -m /var/log

这将持续监控 /var/log 目录中的文件变更情况，包括创建、删除、修改等操作。

5.2 tripwire：完整性检查

tripwire 是 Linux 上常用的文件完整性检查工具，可以检测系统中是否有文件被篡改。它通过记录文件的哈希值、权限等信息来监控文件的完整性。

安装 tripwire：

sudo apt install tripwire

初始化数据库并运行检查：

sudo tripwire --init
sudo tripwire --check

通过定期运行 tripwire，可以及时发现系统文件是否被恶意修改。

6. 文件系统安全的最佳实践

• 最小权限原则：始终应用最小权限原则，确保用户和进程只拥有执行其任务所需的最低权限。
• 定期检查权限和所有权：通过脚本或工具定期检查关键文件的权限和所有权，发现不合理的设置及时调整。
• 加密敏感数据：无论是文件级别加密还是磁盘加密，对于敏感数据，使用加密技术是有效的保护措施。
• 启用强制访问控制：在需要高度安全的环境中，启用 SELinux 或 AppArmor 进行强制访问控制，可以为系统增加额外的安全层。
• 监控系统活动 ：通过审计和监控工具，如 auditd、inotify 等，实时跟踪系统中的文件操作，快速响应潜在的安全威胁。

7. 总结

文件系统安全是 Linux 安全管理的核心部分，它涵盖了权限管理、加密、强制访问控制和系统审计等多个方面。通过合理设置文件权限、使用加密技术、启用审计机制和监控文件活动，可以有效提升系统的安全性，防止未经授权的访问和操作。