构建安全可靠的Linux服务平台(上)

　　SUID和SGID攻击方式的预防：

　　1．严格审查系统内的文件权限。可以找出系统内使用SUID/SGID的文件，列出清单保存，做到心中有数。命令如下：

　　2．对于一部分程序必须设置为SUID的，可以让它们自成一组，集中管理。但是绝对不允许在用户的家目录下有SUID程序存在。

　　3．确保重要的SUID脚本不可写。命令如下：

　　4．对于并非绝对需要被设置成SUID的程序，改变它们的访问权限或者卸载程序。如：

　　5．查找系统内所有不属于任何用户和组的文件。因为这些文件很容易被利用来获得入侵主机的权限，造成潜在的威胁。命令如下：

　　6．善于使用lsattr和chattr这两个ext2/3的属性命令。本文将主要讨论a属性和i属性，因为这两个属性对于提高文件系统的安全性和保障文件系统的完整性有很大的好处。a属性（Append-only），系统只允许在这个文件之后追加数据，不允许任何进程覆盖或截断这个文件。如果目录具有这个属性，系统将只允许在这个目录下建立和修改文件，而不允许删除任何文件。i属性（Immutable），系统不允许对这个文件进行任何的修改。如果目录具有这个属性，那么任何进程只能修改目录之下的文件，不允许建立和删除文件。

　　如果主机直接暴露在因特网或者位于其它危险（如其它非管理员亦可接触服务器）环境，有很多Shell账户或提供HTTP和FTP等网络服务，一般应该在安装配置完成后使用如下命令，便于保护这些重要目录：