容易被忽视的Linux安全权限配置问题有哪些

共计 1704 个字符，预计需要花费 5 分钟才能阅读完成。

丸趣 TV 小编给大家分享一下容易被忽视的 Linux 安全权限配置问题有哪些，希望大家阅读完这篇文章之后都有所收获，下面让我们一起去探讨吧！

1、太宽的权限

有些服务对权限的要求会是一个区间，小了不行，大了也不行。如果这个文件被赋予的权限不够，那么肯定不能使用; 但是，如果这个文件被赋予的权限太多了，同样不能正常使用。

举例：

问题现象：test 帐号使用 key 无法登录某 ssh 服务器, 而同机器下的 test2 帐号却可以登录。

查看文件权限：

test@client:~$ls-l~/.ssh/ -rw-------1testtest 16752010-03-2515:15id_rsa

查看了客户端及服务器端的.ssh 目录下的公钥与私钥权限, 可以看出, 并没有问题。

私钥必须是 600 权限, 而公钥至少是 644 或者更严格的权限, 这都符合, 但依然无法登录。

test@server:~$ls-la~|grep-w.ssh drwxr-xr-x2testtest4.0K12-2316:59.ssh

查看了服务器端的.ssh 目录权限, 是 755, 也是没问题的,ssh 服务器要求在使用 key 登录时.ssh 目录的权限必须是其他用户不可写。

一开始实在想不明为啥 test2 帐号使用 key 可以登录,test 帐号使用 key 无法登录,ssh_config 和 sshd_config。

在检查了多遍后确实没有问题,*** 在服务器端对比两个帐号的不同时, 发现了可疑的地方。

$ls-l/home/ drwxrwxrwx 3testtest4096 2009-12-31 17:31test drwxr-xr-x 6 test2 test2 4096 2010-03-23 15:59test2

两个帐号的 home 目录权限不同,test 帐号是 777,test2 帐号是 755, 会不会是这里不同导致的? 在服务器端把 test 目录修改成 755 后, 解决问题。

原因解释：

ssh 服务器的 key 方式登录对权限要求严格。对于客户端: 私钥必须为 600 权限或者更严格权限 (400), 一旦其他用户可读, 私钥就不起作用 (如 640), 表现为系统认为不存在私钥。

对于服务器端: 要求必须公钥其他用户不可写, 一旦其他用户可写 (如 660), 就无法用 key 登录, 表现为：Permission denied(publickey)。

同时要求.ssh 目录其他用户不可写, 一旦其他用户可写 (如 770), 就无法使用 key 登录, 表现为：Permission denied(publickey)。

不仅.ssh 目录，更上层的目录的权限同样会有影响。

home 中用户目录的可写, 表示其他用户对.ssh 子目录也有改写的权限 (删除或重命令), 也就导致 ssh 判断.ssh 为其他用户可写, 拒绝使用 key 登录。

2、悄悄启动的 selinux

如果你配置某项服务，但是不论怎么定义配置文件，有些端口始终不能打开，或者文件无法访问到，那么这时你要小心是 selinux 在捣鬼。

举例：

问题现象：配置 apache 上的目录可以访问，却始终提示你没有权限。

apache 上的配置：

Alias/hello.html/web/hello.html Order deny,allow Allow from all

怎么查都没有问题，文件权限也对，这时可以考虑查一下 selinux 的权限。

#ls-Z/web/ -rw-r--r--.root root unconfined_u:object_r:admin_home_t:s0hello.html

原来 /web 目录不能被 apache 内建的用户访问。

原因解释：

默认情况下，selinux 限制了 apache 可以访问的目录，默认仅能在 /var/www/ 下面读写文件。这也难怪，我们只配置 apache 和文件权限没有任何作用了。

要想实现对 /web/ 目录下的文件读取，必须修改 selinux 的配置。

其实不止是文件权限，包括服务可以使用的端口、消息接口等，selinux 都有默认限制。

看完了这篇文章，相信你对“容易被忽视的 Linux 安全权限配置问题有哪些”有了一定的了解，如果想了解更多相关知识，欢迎关注丸趣 TV 行业资讯频道，感谢各位的阅读！