确保关键文件、目录权限最小化
按照权限最小化原则,系统中的关键文件,特别是包含有敏感信息的文件,必须设置正确的最小访问权限。确保只有具备相应权限的用户可以访问,目录也应遵循相应要求。文件或目录权限设置不当,可能导致敏感信息泄露。例如,访问权限设置644或更高,所有用户均可访问,甚至可能被篡改;若只有root用户可执行的程序,却设置为755权限,将允许任意用户执行,从而引入提权风险。
常见权限控制文件/目录
常见的需要做访问权限控制的文件或目录类型有:
- 可执行文件(二进制文件、脚本)及存放可执行文件的目录。如果权限配置不当可能导致提权攻击。
- 配置文件、密钥文件、日志文件、存储有敏感信息的数据文件、系统运行时产生的临时文件、静态文件等。这些文件中可能包含敏感数据、隐私数据,如果权限配置不当会增加信息泄露的风险。
权限控制基本原则如下:
文件类型 |
设置值 |
|---|---|
用户主目录 |
750(rwxr-x---) |
程序文件(含脚本文件、库文件等) |
550(r-xr-x---) |
程序文件目录 |
550(r-xr-x---) |
配置文件 |
640(rw-r-----) |
配置文件目录 |
750(rwxr-x---) |
日志文件(记录完毕或者已经归档) |
440(r--r-----) |
日志文件(正在记录) |
640(rw-r-----) |
日志文件目录 |
750(rwxr-x---) |
Debug文件 |
640(rw-r-----) |
Debug文件目录 |
750(rwxr-x---) |
临时文件目录 |
750(rwxr-x---) |
维护升级文件目录 |
770(rwxrwx---) |
业务数据文件 |
640(rw-r-----) |
业务数据文件目录 |
750(rwxr-x---) |
密钥组件、私钥、证书、密文文件目录 |
700(rwx—----) |
密钥组件、私钥、证书、加密密文 |
600(rw-------) |
加解密接口、加解密脚本 |
500(r-x------) |
根据进程权限最小化原则,系统在执行任务时一般使用非root的普通用户。为确保该用户可以正常访问Linux系统中必要的目录和文件,对于系统运行依赖的系统目录、配置文件、可执行文件及证书文件,其相应权限可适当放宽。建议如下:
文件类型 |
设置值 |
|---|---|
目录 |
755(rwxr-xr-x) |
程序文件(含脚本文件、库文件等) |
755(rwxr-xr-x) |
配置文件 |
644(rw-r--r--) |
证书文件(无私钥) |
444(r--r--r--) |
常见的需要做访问权限控制的文件的建议权限如下:
文件名称 |
设置值 |
|---|---|
/etc/passwd |
0644(-rw-r--r--) |
/etc/group |
0644(-rw-r--r--) |
/etc/shadow |
0000(----------) |
/etc/gshadow |
0000(----------) |
/etc/passwd- |
0644(-rw-r--r--) |
/etc/shadow- |
0000(----------) |
/etc/group- |
0644(-rw-r--r--) |
/etc/gshadow- |
0000(----------) |
/etc/ssh/sshd_config |
0600(-rw-------) |
操作步骤
- 使用ll命令或ls -l命令查看文件权限,以test文件为例。
ls -l test
如下为示例。
-rwxr-sr-t. 1 root root 33 Nov 5 14:44 test
- 若权限不满足要求,请使用chmod命令修改文件权限。
chmod 750 test ll test
返回信息如下。
-rwxr-x---. 1 root root 33 Nov 5 14:44 test