1、全球可读文件
全球可读文件指任何用户都有权限查看的文件
find / -type f -perm -4 -print 2 > /dev/null
2、全球可写文件
全球可写文件指那些所有用户都有权限更改的文件
find / -type f -perm -2 -print 2 > /dev/null
find / -type d -perm -2 -print 2 > /dev/null
3、特殊的文件权限:setuid和setgid
设置了setuid的文件,用户在执行文件时会以该文件的所有者的身份执行,而不是执行这个文件的用户本身
setgid类似,以文件的属组的身份执行
/etc/shadow就是这样的文件
添加setuid权限
chmod u+x testfile
chmod u+s testfile
取消setuid权限
chmod u-s testfile
添加setgid权限
chmod g+x testfile
chmod g+s testfile
取消setgid权限
chmod g-s testfile
查找出系统中setuid或者setgid文件
find / -perm -4000 -print //setuid
find / -perm -2000 -print //setgid
4、没有所有者文件
查找出系统中没有所有者和属组的文件
find / -nouser -o -nogroup
5、设备文件
设备文件存放在/dev/下,应避免权限被设置为全球可读
6、磁盘分区
通过占用所有磁盘可用空间实施拒绝服务攻击
cat /dev/zero > /tmp/bigfile //不断往比辜负了中写0,耗光磁盘空间
使用Linux的磁盘配额限制,限制每个用户能够使用的磁盘空间
对磁盘进行合理的分区,把重要的文件系统分别挂载到不同的磁盘分区上
7、设置grub密码
生成MD5加密的密码信息
/sbin/grub-md5-crypt
更改/etc/grub.conf配置
password --md5 xxxxxxxxxxxxxxxxxxxxxx
lock
reboot
8、限制su切换
配置只允许wheel组中的用户进行su
更改su命令属组为wheel
chgrp wheel /bin/su
更改su命令的权限,拒绝除root和wheel组以外的用户执行
chmod u+s,o-rwx,u+rwx,g+rx /bin/su
把可信任的用户加入wheel组
usermod -G wheel sam
9、使用合适的mount选项
使用noexec\nosuid\nodev等选项更好地控制挂载的文件系统
原文地址:http://blog.csdn.net/maserattikaka/article/details/41506447