容易被忽视的Linux安全权限配置问题有哪些

75次阅读
没有评论

共计 1704 个字符,预计需要花费 5 分钟才能阅读完成。

丸趣 TV 小编给大家分享一下容易被忽视的 Linux 安全权限配置问题有哪些,希望大家阅读完这篇文章之后都有所收获,下面让我们一起去探讨吧!

1、太宽的权限

有些服务对权限的要求会是一个区间,小了不行,大了也不行。如果这个文件被赋予的权限不够,那么肯定不能使用; 但是,如果这个文件被赋予的权限太多了,同样不能正常使用。

举例:

问题现象:test 帐号使用 key 无法登录某 ssh 服务器, 而同机器下的 test2 帐号却可以登录。

查看文件权限:

test@client:~$ls-l~/.ssh/ -rw-------1testtest 16752010-03-2515:15id_rsa

查看了客户端及服务器端的.ssh 目录下的公钥与私钥权限, 可以看出, 并没有问题。

私钥必须是 600 权限, 而公钥至少是 644 或者更严格的权限, 这都符合, 但依然无法登录。

test@server:~$ls-la~|grep-w.ssh drwxr-xr-x2testtest4.0K12-2316:59.ssh

查看了服务器端的.ssh 目录权限, 是 755, 也是没问题的,ssh 服务器要求在使用 key 登录时.ssh 目录的权限必须是其他用户不可写。

一开始实在想不明为啥 test2 帐号使用 key 可以登录,test 帐号使用 key 无法登录,ssh_config 和 sshd_config。

在检查了多遍后确实没有问题,*** 在服务器端对比两个帐号的不同时, 发现了可疑的地方。

$ls-l/home/ drwxrwxrwx 3testtest4096 2009-12-31 17:31test drwxr-xr-x 6 test2 test2 4096 2010-03-23 15:59test2

两个帐号的 home 目录权限不同,test 帐号是 777,test2 帐号是 755, 会不会是这里不同导致的? 在服务器端把 test 目录修改成 755 后, 解决问题。

原因解释:

ssh 服务器的 key 方式登录对权限要求严格。对于客户端: 私钥必须为 600 权限或者更严格权限 (400), 一旦其他用户可读, 私钥就不起作用 (如 640), 表现为系统认为不存在私钥。

对于服务器端: 要求必须公钥其他用户不可写, 一旦其他用户可写 (如 660), 就无法用 key 登录, 表现为:Permission denied(publickey)。

同时要求.ssh 目录其他用户不可写, 一旦其他用户可写 (如 770), 就无法使用 key 登录, 表现为:Permission denied(publickey)。

不仅.ssh 目录,更上层的目录的权限同样会有影响。

home 中用户目录的可写, 表示其他用户对.ssh 子目录也有改写的权限 (删除或重命令), 也就导致 ssh 判断.ssh 为其他用户可写, 拒绝使用 key 登录。

2、悄悄启动的 selinux

如果你配置某项服务,但是不论怎么定义配置文件,有些端口始终不能打开,或者文件无法访问到,那么这时你要小心是 selinux 在捣鬼。

举例:

问题现象:配置 apache 上的目录可以访问,却始终提示你没有权限。

apache 上的配置:

Alias/hello.html/web/hello.html Order deny,allow Allow from all

怎么查都没有问题,文件权限也对,这时可以考虑查一下 selinux 的权限。

#ls-Z/web/ -rw-r--r--.root root unconfined_u:object_r:admin_home_t:s0hello.html

原来 /web 目录不能被 apache 内建的用户访问。

原因解释:

默认情况下,selinux 限制了 apache 可以访问的目录,默认仅能在 /var/www/ 下面读写文件。这也难怪,我们只配置 apache 和文件权限没有任何作用了。

要想实现对 /web/ 目录下的文件读取,必须修改 selinux 的配置。

其实不止是文件权限,包括服务可以使用的端口、消息接口等,selinux 都有默认限制。

看完了这篇文章,相信你对“容易被忽视的 Linux 安全权限配置问题有哪些”有了一定的了解,如果想了解更多相关知识,欢迎关注丸趣 TV 行业资讯频道,感谢各位的阅读!

正文完
 
丸趣
版权声明:本站原创文章,由 丸趣 2023-08-25发表,共计1704字。
转载说明:除特殊说明外本站除技术相关以外文章皆由网络搜集发布,转载请注明出处。
评论(没有评论)