413课堂练习《第四章》管理文件系统

目录
413课堂练习《第一章》跟踪安全更新
413课堂练习《第二章》管理软件更新
413课堂练习《第三章》创建文件系统
413课堂练习《第四章》管理文件系统
413课堂练习《第五章》特殊权限管理
413课堂练习《第六章》管理附加文件权限
413课堂练习《第七章》监视文件系统变更
413课堂练习《第八章》管理用户账户
413课堂练习《第九章》管理PAM
413课堂练习《第十章》加强控制台安全
413课堂练习《第十一章》安装CA中心
413课堂练习《第十二章》管理CA中心
413课堂练习《第十三章》配置系统日志
413课堂练习《第十四章》配置系统审计
413课堂练习《第十五章》控制网络服务访问

课堂演示
1. 以root身份登录，拷贝/bin/ping到student用户家目录，保留权限，同时 在此目录下创建一个简单脚本
[root@serverX ~]#  cp -a /bin/ping ~student
[root@serverX ~]# echo 'echo this is a shell script' > ~student/test-script
[root@serverX ~]#  chmod 755 ~student/test-script

2. 在另一窗口以student身份登录，执行ping和之前创建的简单脚本
[student@serverX ~]$ ./ping localhost（成功）
[student@serverX ~]$ ./test-script（成功）

3. 在之前窗口用nosuid选项重新挂载/home
[root@serverX ~]# mount -o remount,nosuid /home
[root@serverX ~]#  mount | grep home

4. 以student身份再次执行ping与 之前创建的简单脚本
[student@serverX ~]$ ./ping localhost（失败）
[student@serverX ~]$ ./test-script（成功）

5.  在之前窗口用noexec选项重新挂载/home
[root@serverX ~]# mount -o remount,noexec /home
[root@serverX ~]#  mount | grep home

6.  以student身份再次执行ping与之前创建的简单脚本
[student@serverX ~]$ ./ping localhost（失败）
[student@serverX ~]$ ./test-script（失败）

7.  在之前窗口用exec选项重新挂载/home
[root@serverX ~]# mount -o remount,exec /home
[root@serverX ~]#  mount | grep home

8.  以student身份再次执行ping与之前创建的简单脚本
[student@serverX ~]$ ./ping localhost（成功）
[student@serverX ~]$ ./test-script（成功）

课堂演示
1. 创建一个简单文本文件
[root@serverX ~]# echo 'This is a sample file with text in it.' > sample.txt

2. 检查文件属性
[root@serverX ~]# lsattr sample.txt

3. 激活文件的‘不可变’属性
[root@serverX ~]# chattr +i sample.txt
[root@serverX ~]# lsattr sample.txt

4. 在文件中增加一行（失败）
[root@serverX ~]# echo 'More text' >> sample.txt

5. 覆盖此文件（失败）
[root@serverX ~]# echo 'Different text' > sample.txt

6. 删除此文件（失败）
[root@serverX ~]# rm -f sample.txt

7. 取消文件的‘不可变’属性
[root@serverX ~]# chattr -i sample.txt
[root@serverX ~]# lsattr sample.txt

8. 在文件中增加一行（成功）
[root@serverX ~]# echo 'More text' >> sample.txt

9. 覆盖此文件（成功）
[root@serverX ~]# echo 'Different text ' > sample.txt

10. 删除此文件（成功）
[root@serverX ~]# rm -f sample.txt

11. 创建一个简单文本文件
[root@serverX ~]# echo 'This is a sample file with text in it.' > sample.txt

12. 激活文件的‘仅追加’属性
[root@serverX ~]# chattr +a sample.txt
[root@serverX ~]# lsattr sample.txt

13. 在文件中增加一行（成功）
[root@serverX ~]# echo 'More text'>> sample.txt

14. 覆盖此文件（失败）
[root@serverX ~]# echo 'Different text' > sample.txt

15. 删除此文件（失败）
[root@serverX ~]# rm -f sample.txt

16. 取消文件的‘仅追加’属性
[root@serverX ~]# chattr -a sample.txt
[root@serverX ~]# lsattr sample.txt

17. 覆盖此文件（成功）
[root@serverX ~]# echo 'Different text' > sample.txt

18. 删除此文件（成功）
[root@serverX ~]#  rm -f sample.txt

案例（加固文件系统和文件）
1. 查看/home当前的挂载属性
[root@serverX ~]# mount | grep home
[root@serverX ~]# grep home /etc/fstab

2. 在/etc/fstab中改变/home的属性增加nodev和noexec
[root@serverX ~]# vim /etc/fstab
/dev/mapper/vgsrv-home      /home      ext4      nodev,noexec      1 2

3. 重新激活/home
[root@serverX ~]# mount -o remount /home

4. 进一步查看/home的超块挂载属性
[root@serverX ~]# tune2fs -l /dev/vgsrv/home | grep options

5. 改变超块挂载属性为acl和user_xattr
[root@serverX ~]# tune2fs -o acl,user_xattr /dev/vgsrv/home
[root@serverX ~]# tune2fs -l /dev/vgsrv/home | grep options

6. 创建文件/var/log/redhat-training查看原始文件属性
[root@serverX ~]# touch /var/log/redhat-training
[root@serverX ~]# lsattr /var/log/redhat-training

7. 激活适当的文件属性使文件不能被覆盖或移除
[root@serverX ~]# chattr +a /var/log/redhat-training
[root@serverX ~]# lsattr /var/log/redhat-training

8. 确认文件不能被覆盖或移除
[root@serverX ~]# wc -l /var/log/redhat-training
[root@serverX ~]# echo test > /var/log/redhat-training
[root@serverX ~]# rm /var/log/redhat-training
[root@serverX ~]# date >> /var/log/redhat-training
[root@serverX ~]# wc -l /var/log/redhat-training

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/24644775/viewspace-1251273/，如需转载，请注明出处，否则将追究法律责任。