Linux系统安全配置与管理指南
1. 使用setgid组所有权
在共享文件访问场景中,若参与共享文件访问的所有用户都属于shrgrp组,可通过以下操作让指定目录内创建的所有文件自动拥有shrgrp组所有权:
~$ chgrp -R shrgrp /home/share/sharedfiles/ ~$ find /home/share/sharedfiles/ -type d -exec chmod g+s '{}' \;不过,这要求用户有合适的umask设置(如007或更小),以确保新创建资源的组权限允许组成员进行读写访问。
2. 启用多实例化目录
在Linux和Unix系统中,/tmp/和/var/tmp/是全局可写的,用于提供临时文件的公共存储位置,并通过粘滞位保护,防止用户删除非自己的文件。但这些位置曾遭遇过攻击,如符号链接的竞态条件和信息泄露。多实例化目录可解决此问题,用户登录时会在不同位置创建私有/tmp/和/var/tmp/实例,然后挂载到相应位置。
2.1 操作步骤
- 创建
/tmp-inst/和/var/tmp/tmp-inst/位置:
