可通过chmod/chown、ACL、SELinux、sudoers和bind mount五种机制实现敏感文件的精细化访问控制:先调整基础权限与属主,再用ACL单用户授权,SELinux强制策略限制,sudoers限定命令级访问,bind mount隐藏路径。
如果需要防止特定用户读取、写入或执行系统中的敏感文件,可以通过Linux的权限控制机制实现精细化访问限制。以下是实施此安全加固的步骤:
一、使用chmod与chown调整基础权限
通过修改文件所有者和权限位,可确保仅授权用户具备必要访问能力,非授权用户无法越权操作。
1、使用ls -l命令确认目标敏感文件的当前所有者与权限,例如/etc/shadow。
2、执行sudo chown root:admin /path/to/sensitive_file,将文件所有者设为root、所属组设为admin组。
3、执行sudo chmod 640 /path/to/sensitive_file,使所有者可读写、组成员仅可读、其他用户无任何权限。
4、将需授权访问的用户加入admin组:sudo usermod -aG admin username。
二、启用ACL进行细粒度控制
当标准Unix权限无法满足单用户级精确授权时,访问控制列表(ACL)支持为特定用户单独设置读、写、执行权限,不依赖组成员身份。
1、确认文件系统已挂载并启用ACL支持,检查mount | grep "$(df . | tail -1 | awk '{print $1}')" | grep acl输出是否含acl选项。
2、若未启用,在/etc/fstab中对应分区行添加acl参数后执行sudo mount -o remount /。
3、为指定用户添加读权限:sudo setfacl -m u:username:r /path/to/sensitive_file。
4、禁止某用户访问:sudo setfacl -m u:unwanted_user:--- /path/to/sensitive_file。
5、验证ACL设置:getfacl /path/to/sensitive_file。
三、利用SELinux实施强制访问控制
SELinux可在内核层对进程与文件间的交互施加策略约束,即使用户拥有传统权限,仍受安全上下文限制,有效防御提权后的横向访问。
1、确认SELinux处于enforcing模式:sestatus | grep "Current mode",输出应为enforcing。
2、为敏感文件打上专用类型标签,例如:sudo semanage fcontext -a -t etc_t "/path/to/sensitive_file"。
3、应用新标签:sudo restorecon -v /path/to/sensitive_file。
4、创建自定义策略模块,禁止特定用户域(如user_u:user_r:user_t)对该文件类型执行read操作,使用audit2allow -M deny_user_read基于拒绝日志生成规则。
5、加载模块:sudo semodule -i deny_user_read.pp。
四、配置sudoers实现受限命令级访问
对于必须由特定用户以高权限查看或编辑的敏感文件,可通过sudoers白名单机制授予最小必要命令权限,避免直接赋予文件级访问权。
1、运行sudo visudo进入安全编辑模式。
2、添加行:username ALL=(root) /bin/cat /path/to/sensitive_file, /usr/bin/vim /path/to/sensitive_file,限定该用户仅能以root身份执行指定命令。
3、添加NOPASSWD:前缀可免密执行(谨慎评估风险):username ALL=(root) NOPASSWD: /bin/cat /path/to/sensitive_file。
4、保存退出后,用户需使用sudo cat /path/to/sensitive_file访问,而非直接读取文件。
五、使用bind mount隐藏文件路径
通过将敏感文件所在目录绑定挂载至另一位置,并在原路径设置严格权限,可阻断常规路径访问尝试,增加发现与利用难度。
1、创建隔离挂载点:sudo mkdir -p /secure/mount。
2、执行绑定挂载:sudo mount --bind /original/path /secure/mount。
3、撤销原路径的全局访问:sudo chmod 700 /original/path,确保仅root可进入。
4、将需授权用户的shell环境变量PATH或脚本中涉及该文件的路径统一指向/secure/mount/filename。
5、为防止重启失效,将绑定挂载写入/etc/fstab:/original/path /secure/mount none bind 0 0。
