linux系统管理第15章

Linux安全设置本章内容2文件的安全设置ACL磁盘的安全加密日志管理文件ACL权限3ACL是AccessControlList的缩写，主要的目的是在提供传统的owner，group，others的read，write，execute权限之外的细部权限设定。ACL可以针对单一使用者，单一文件或目录来进行

r,w,x的权限规范，对于需要特殊权限的使用状况非常有帮助。ACL

主要可以针对以下方面来控制权限：使用者(user)：可以针对使用者来设定权限；组群(group)：针对用户组为对象来设定其权限；预设属性(mask)：还可以针对在该目录下在建立新文件/目录时，规范新数据的预设权限管理文件系统访问控制列表4查看：$

getfacl

filename修改:$

setfacl

-m

u:username:rw

filename$

setfacl

-m

g:groupname:rw

filename删除:$

setfacl

-x

u:username

filename通过分区加密启用数据保密5创建新的加密卷1.使用fdisk创建新分区2.cryptsetup

luksFormat/dev/vdaN

对新分区进行加密，并设置解密密钥3.cryptsetup

luksOpen

/dev/vdaN name

会将加密的卷/dev/vdaN解锁为/dev/mapper/name4.

在解密的卷上创建ext4文件系统: mkfs

–t

ext4

/dev/mapper/name5.

创建目录挂载点，并挂载文件系统：mkdir

/secretmount

/dev/mapper/name

/secret日志分析及管理6日志的功能用于记录系统、程序运行中发生的各种事件通过阅读日志，有助于诊断和解决系统故障日志文件的分类内核及系统日志由系统服务rsyslog统一进行管理，日志格式基本相似用户日志记录系统用户登录及退出系统的相关信息程序日志由各种应用程序独立管理的日志文件，记录格式不统一日志分析及管理7日志保存位置默认位于：/var/log

目录下主要日志文件介绍内核及公共消息日志：/var/log/messages计划任务日志：/var/log/cron系统引导日志：/var/log/boot.log邮件系统日志：/var/log/maillog用户登录日志：/var/log/lastlog……内核及系统日志由系统服务rsyslogd

统一管理配置文件：/etc/rsyslog.conf[root@localhost

~]#

grep -v

"^#"

/etc/rsyslog.conf

|

grep -v

^$*.info;mail.none;authpriv.none;cron.noneauthpriv.*mail.*cron.*/var/log/messages/var/log/secure-/var/log/maillog/var/log/cron……设备类别.日志级别消息发送位置8内核及系统日志日志消息的级别0

EMERG（紧急）：会导致主机系统不可用的情况1

ALERT（警告）：必须马上采取措施解决的问题2

CRIT（严重）：比较严重的情况3

ERR（错误）：运行出现错误4

WARNING（提醒）：可能会影响系统功能的事件5

NOTICE（注意）：不会影响系统但值得注意6

INFO（信息）：一般信息7

DEBUG（调试）：程序或系统调试信息等数字越小，表示优先级越高、问题越严重9内核及系统日志日志记录的一般格式[root@localhost

~]#

tail -5

/var/log/messagesSep

14

11:22:44

localhost

kernel:

sdb:

cache

data

unavailableSep

14

11:22:44

localhost

kernel:

sdb:

assuming

drive

cache:

writethroughSep

14

11:22:44

localhost

kernel: sdb:

sdb1Sep

14

11:23:37

localhost

kernel:

VFS:

Can't

find

ext3

filesystem

ondev

sdb1.Sep

14

16:54:48

localhost

NetworkManager:

<information>

starting...时间标签 主机名 子系统名 消息字段10用户日志分析11保存了用户登录、退出系统等相关信息/var/log/lastlog：最近的用户登录事件/var/log/wtmp：用户登录、注销及系统开、关机事件/var/run/utmp：当前登录的每个用户的详细信息/var/log/secure：与用户验证相关的安全性事件分析工具who、w、user轮转日志为避免日志占满包含/var/log/的文件系统，可以使用轮转日志大多数日志文件每周轮转一次，通常四周后，丢弃原日志文件使用cron计划作业完成轮转日志，使用命令：logrotate程序轮转日志12定位和分析日志报告摘要13安装logwatch程序，自动分析标准日志，并向root发送汇总电子邮件更改日志摘要的邮件地址14修改/etc/logwatch/conf/logwatch.conf