禁止存在全局可写的文件

全局可写意味着所有用户都可对文件进行写操作，通常情况下并非必需。如果文件被不合理的设置了全局可写权限，容易被攻击者篡改，导致安全风险。若文件确实需要全局可写的权限，应结合实际场景分析安全风险，确保攻击者无法利用此文件进行攻击。

“/sys”、“/proc”目录在Linux运行时存在大量的全局可写文件，在检查时应将其排除，避免混淆。

1. 使用如下命令在根目录下（排除“/sys”、“/proc”目录）搜索全局可写文件。

   find / -path /proc -prune -o -path /sys -prune -o -type f -perm -0002 -exec ls -lg {} \; 

   如下为示例。若返回为空，表示无全局可写文件。

   -rwxrwxrwx. 1 root 0 Dec  1 17:34 /root/test

   也可以使用-xdev参数，只搜索指定目录所在分区的文件系统，对于其他通过mount挂载的目录不做搜索。

   find / -xdev -type f -perm -0002 -exec ls -lg {} \; 

   如下为示例。

   -rwxrwxrwx. 1 root 0 Dec  1 17:34 /root/test

2. 对于不合理的权限，使用chmod命令进行修改，去除全局可写。以修改test权限为例，修改后可通过ll命令确认权限是否生效。

   chmod 755 test
   ll test 

   返回信息如下。

   -rwxr-xr-x. 1 root root 0 Dec  1 17:34 test