Linux系统加强安全的方法，怎样才能舒适的操控操作系统的权限

在平常运维中，经常会遭到权限的困扰，给多了就违反了最小权限准则，形成体系呈现一些网安隐患，给少了营业又无奈失常停止，上面咱们来看看若何优雅的节制体系权限，包管体系网安。

0x01改动应用版本信息

改动应用版本信息固然和权限有关，但对应用能够起到必定的掩护感化，本节咱们以tengine为例，来先容若何改动应用的版本信息。别的apache等办法相似。

1、改动设置装备摆设文件暗藏版本信息

设置装备摆设文件nginx.conf中http段增加server_tokens off，但此办法只能暗藏版本号，办事信息照样能够看到的。

设置装备摆设如下图所示。

2、要想改动的完全，能够通过改动源码停止暗藏，解紧缩tar包，改动$BASE_DIR/src/core/nginx.h文件。

改动前：

改动后：

编译进程这里不做先容，编译后运转后果如下图所示，能够看到http头中办事和版本信息都曾经改动。

0x02构建受限的shell环境

有时候咱们想限定用户登录后的行动，让用户在一个受限的shell环境操纵，这里咱们先容若何应用lshell来疾速完成，lshell供给了一个针对每一个用户可设置装备摆设的限定性shell，设置装备摆设文件异常的简略，能够很容易的严厉限定用户能够拜访哪些目次，能够应用哪些敕令，同时能够对不法操纵停止日记记载。

装置进程不做先容，yum装置后设置装备摆设文件门路为/etc/lshell.conf。 主要的设置装备摆设项有logpath：设置装备摆设日记门路、allowed：容许执行的敕令、forbidden：制止应用的字符或许敕令、path：只容许拜访的门路、env_vars：环境变量。

设置装备摆设好后，改动你想要限定的用户shell，

1

chsh -s /usr/bin/lshell $USER_NAME

，或许vipw间接改动。日记目次必要手工创立并赋权。

设置装备摆设如上图所示，只容许应用的敕令为：ls、echo、cd、ll，只容许拜访的门路为/home/tomcat/、/usr、/etc、/tmp、/opt。 在受限shell下停止操纵，能够看到不容许的操纵被制止。

日记记载

应用场景能够有许多，人人依据本身的现实营业环境机动应用。

留意：万万不要把bash、sh等敕令容许，一旦容许这些敕令，该用户就能够逃逸出lshell的受限环境了。

0x03 linux ACL

linux默许的3种根本权限(rwx)和3种特别权限 (suid,sgid,sticky)在平凡环境下做恰当调剂便可，然则假如呈现多个组多个用户环境下对某些文件或目次做权限设置装备摆设就会发明不敷分派，以是为了办理此类环境linux内核呈现了acl(拜访节制列表)模块来停止分层治理。

应用acl前要装置acl和libacl，检查体系能否支撑acl，Linux默许是支撑的。

1

dumpe2fs -h /dev/sda1|grep acl(依据本身磁盘环境变动)

开启分区的acl权限：

暂时开启：mount –o remount,acl 磁盘分区，永远开启的话必要改动/etc/fstab

场景：某文件只容许属主和别的用户A拜访(只读)，别的用户都不容许拜访。

假定A用户名为tomcat，改文件只容许属主root和别的用户tomcat拜访(只读) 设置acl前，tomcat用户读取操纵被回绝。

设置acl后，tomcat用户能够读取，user1用户被回绝。

0x04 严厉限定网络出入站规矩

在入侵攻击场景中，入侵攻击者平日在获得到必定权限后，会反弹shell停止交互式操纵，严厉限定出入站规矩，能够对此入侵攻击行动停止有用阻断。

平日环境下，咱们对入站拜访战略会停止严厉的限定，但出站战略经常被疏忽，这就使得入侵攻击者反弹shell成为能够，这里咱们先容应用iptables停止有用限定。

iptables功效异常壮大，人人能够细心研讨一下，有许多好玩的器械。

以上只一些简略的例子，抛个砖，引出一些思绪，人人能够自在施展，机动应用，挖掘出更多好玩的器械。