讨论两个容易被忽视的linux安全权限配置问题


发布人:admin分类:网络安全浏览量:28发布时间:2017-12-12

我们都知道linux是一个多任务多用户的操作系统,linux对各种权限有着很细致的管理。如果对linux权限管理不了解,建议移步《鸟哥的linux私房菜》 了解。

本文谈两个很容易被忽视,又偶尔会突然蹦出来,给我们配置服务器造成困扰的权限管理问题。


1、太宽的权限
    有些服务对权限的要求会是一个区间,小了不行,大了也不行。如果这个文件被赋予的权限不够,那么肯定不能使用;但是,如果这个文件被赋予的权限太多了,同样不能正常使用。

举例:
    问题现象: test帐号使用key无法登录某ssh服务器, 而同机器下的test2帐号却可以登录。
    查看文件权限:

test@client:~$ls-l ~/.ssh/
-rw------- 1testtest  1675 2010-03-25 15:15 id_rsa

查看了客户端及服务器端的.ssh目录下的公钥与私钥权限, 可以看出, 并没有问题。
私钥必须是600权限, 而公钥至少是644或者更严格的权限, 这都符合, 但依然无法登录。

test@server:~$ls-la ~ |grep-w .ssh
drwxr-xr-x  2test test 4.0K 12-23 16:59 .ssh

查看了服务器端的.ssh目录权限, 是755, 也是没问题的, ssh服务器要求在使用key登录时.ssh目录的权限必须是其他用户不可写。
一开始实在想不明为啥test2帐号使用key可以登录,test帐号使用key无法登录, ssh_config和sshd_config。

在检查了多遍后确实没有问题, 最后在服务器端对比两个帐号的不同时, 发现了可疑的地方。

$ls-l/home/
drwxrwxrwx   3testtest4096 2009-12-31 17:31test
drwxr-xr-x   6 test2 test2 4096 2010-03-23 15:59 test2

两个帐号的home目录权限不同, test帐号是777, test2帐号是755, 会不会是这里不同导致的? 在服务器端把test目录修改成755后, 解决问题。


原因解释:

ssh服务器的key方式登录对权限要求严格。对于客户端: 私钥必须为600权限或者更严格权限(400), 一旦其他用户可读, 私钥就不起作用(如640), 表现为系统认为不存在私钥。

对于服务器端: 要求必须公钥其他用户不可写, 一旦其他用户可写(如660), 就无法用key登录, 表现为:Permission denied (publickey)。
同时要求.ssh目录其他用户不可写,一旦其他用户可写(如770), 就无法使用key登录, 表现为:Permission denied (publickey)。

不仅.ssh目录,更上层的目录的权限同样会有影响。

home中用户目录的可写,表示其他用户对.ssh子目录也有改写的权限(删除或重命令),也就导致ssh判断.ssh为其他用户可写, 拒绝使用key登录。


2、悄悄启动的selinux。
    如果你配置某项服务,但是不论怎么定义配置文件,有些端口始终不能打开,或者文件无法访问到,那么这时你要小心是selinux在捣鬼。

    举例:
    问题现象: 配置apache上的目录可以访问,却始终提示你没有权限。

    apache上的配置:

Alias /hello.html   /web/hello.html
<Directory /web>
Order deny,allow
Allow from all
</Directory>

    怎么查都没有问题,文件权限也对,这时可以考虑查一下selinux的权限。

# ls -Z /web/
-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 hello.html

   原来/web目录不能被apache内建的用户访问。

   原因解释:

   默认情况下,selinux限制了apache可以访问的目录,默认仅能在/var/www/下面读写文件。这也难怪,我们只配置apache和文件权限没有任何作用了。
   要想实现对/web/目录下的文件读取,必须修改selinux的配置。
   其实不止是文件权限,包括服务可以使用的端口、消息接口等,selinux都有默认限制。如果你配置服务遇到莫名其妙的问题,看一下selinux吧。
   如何修改selinux配置也可以参考《鸟哥的linux私房菜》 ,这里不再赘述。

被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21414636(PV) 页面执行时间:89.137(MS)
  • xml
  • 网站地图