LinuxAid nixe0n
簡介
1.什麼是ext2的屬性(attribute)
2.使用什麼命令設置和顯示ext2文件系統的屬性
3.ext2屬性和文件權限的區別
4.我們應該使用chattr做什麼?
4.1.安裝、升級軟件
4.2.管理用戶和用戶組
5.不能使用chattr命令的目錄
總結
簡介
眾所周知,Linux內核中有大量安全特征。其中有很多的特征有著廣泛的應用,但是絕大多數的系統管理員(包括一些資深系統管理員)都忽略了EXT2文件系統的屬性(attribute)。Linux的這種安全特征甚至遠沒有Lids和Tripwire等外部安全工具受關注。本文將詳細介紹EXT2文件系統的屬性已經如何使用這個特征保護系統的安全。
1.什麼是ext2的屬性(attribute)
從Linux的1.1系列內核開始,ext2文件系統就開始支持一些針對文件和目錄的額外標記或者叫作屬性(attribute)。在2.2和2.4系列的內核中,ext2文件系統支持以下屬性的設置和查詢:
A
Atime。告訴系統不要修改對這個文件的最後訪問時間。
S
Sync。一旦應用程序對這個文件執行了寫操作,使系統立刻把修改的結果寫到磁盤。
a
Append Only。系統只允許在這個文件之後追加數據,不允許任何進程覆蓋或者截斷這個文件。如果目錄具有這個屬性,系統將只允許在這個目錄下建立和修改文件,而不允許刪除任何文件。
i
Immutable。系統不允許對這個文件進行任何的修改。如果目錄具有這個屬性,那麼任何的進程只能修改目錄之下的文件,不允許建立和刪除文件。
d
No dump。在進行文件系統備份時,dump程序將忽略這個文件。
c
Compress。系統以透明的方式壓縮這個文件。從這個文件讀取時,返回的是解壓之後的數據;而向這個文件中寫入數據時,數據首先被壓縮之後,才寫入磁盤。
s
Secure Delete。讓系統在刪除這個文件時,使用0填充文件所在的區域。
u
Undelete。當一個應用程序請求刪除這個文件,系統會保留其數據塊以便以後能夠恢復刪除這個文件。
但是,雖然文件系統能夠接受並保留指示每個屬性的標志,但是這些屬性不一定有效,這依賴於內核和各種應用程序的版本。下表顯示每個版本支持的屬性標志:
* 允許設置這個標志並使設置生效
i 允許設置這個標志但忽略其值
- 完全忽略這個標志
1.0 1.2 2.0 2.2 2.4
A - - * * *
S * * * * *
a - * * * *
i - * * * *
d - * * * *
c i i i i i
s * * i i i
u i i i i i
雖然早期的內核版本支持安全刪除特征,但是從1.3系列的內核開始,開發者拋棄的對這個特征的實現,因為它似乎只能夠提高一點點的安全性,而糟糕的是它會給不熟悉安全刪除繼承問題的用戶造成安全的假象。
在對具有A屬性的文件進行操作時,A屬性可以提高一定的性能。而S屬性能夠最大限度的保障文件的完整性。
本文將主要討論a屬性和i屬性,因為這兩個屬性對於提高文件系統的安全性和保障文件系統的完整性有很大的好處。同樣,一些開放源碼的BSD系統(如:FreeBSD和OpenBSD),在其UFS或者FFS實現中也支持類似的特征。
2.使用什麼命令設置和顯示ext2文件系統的屬性
在任何情況下,標准的ls命令都不會一個文件或者目錄的擴展屬性。ext2文件系統工具包中有兩個工具--chattr和lsattr,專門用來設置和查詢文件屬性。因為ext2是標准的Linux文件系統,因此幾乎所有的發布都有e2fsprogs工具包。如果由於某些原因,系統中沒有這個工具,你可以從以下地址下載這個工具包的源代碼編譯並安裝:
http://sourceforge.net/projects/e2fsprogs
lsattr命令只支持很少的選項,其選項如下:
-a
列出目錄中的所有文件,包括以.開頭的文件。
-d
以和文件相同的方式列出目錄,並顯示其包含的內容。
-R
以遞歸的方式列出目錄的屬性及其內容。
-v
列出文件版本(用於網絡文件系統NFS)。
chattr命令可以通過以下三種方式執行:
chattr +Si test.txt
給test.txt文件添加同步和不可變屬性。
chattr -ai test.txt
把文件的只擴展(append-only)屬性和不可變屬性去掉。
chattr =aiA test.txt
使test.txt文件只有a、i和A屬性。
最後,每個命令都支持-R選項,用於遞歸地對目錄和其子目錄進行操作。
3.ext2屬性和文件權限的區別
幾乎所有的系統管理員都理解UNIX風格文件系統的權限和所有者以及ls命令的顯示,例如:
[root@typhoid nixe0n]# ls -al test*
-rw-rw-r-- 1 nixe0n users 0 Nov 17 17:02 test.conf
-rw-rw-r-- 1 nixe0n users 0 Nov 17 17:02 test.log
-rw-rw-r-- 1 nixe0n users 0 Nov 16 19:41 test.txt
從ls的輸出結果看,這些文件屬於用戶nixe0n,而nixe0n所在的用戶組是users。用戶nixe0n本人和users用戶組的成員尉有具有對文件的修改權限,而其他的用戶只有讀取文件的權限。下面是lsattr命令的輸出:
[root@typhoid nixe0n]# lsattr -a test*
---i-------- test.conf
----a------- test.log
------------ test.txt
輸出結果顯示,test.log只能被添加,而test.conf文件不准修改。在UNIX系統中,如果一個用戶以root的權限登錄,文件系統的權限控制將無法對root用戶和以root權限運行的進程進行任何的限制。這樣對於UNIX類的操作系統,如果攻擊者通過遠程或者本地攻擊獲得root權限將可能對系統造成嚴重的破壞。而ext2文件系統可以作為最後一道防線,最大限度地減小系統被破壞的程度,並保存攻擊者的行蹤。ext2屬性是由sys_open()和sys_truncate()等系統調用檢查和賦予的,不受用戶識別號和其他因素的影響,在任何情況下,對具有不可修改(immutable)屬性的文件的進行任何修改都會失敗,不管是否是root用戶進行的修改。
但是,還有一個問題是root權限的用戶可以通過刪除i屬性實現對文件的修改。這種防護只不過給獲得root權限的攻擊者加了一點小麻煩罷了,系統的安全性並沒有根本性的提高。
在2.1之前的內核版本中,存在一個安全層(securelevel)的特征。使用安全層可以解決上述問題,因為如果系統的安全層大於0,內核將不允許對任何文件的i屬性進行修改。這些版本的內核由sysctl命令的"kernel.securelevel"變量進行控制。如果在啟動時,這個變量的值被設置為1或者更大的值,內核將不允許對具有i屬性和a屬性文件進行修改,除非國旗動到單用戶狀態。
但是,由於引入了更為靈活的內核能力特征(kernel capabilities),以後的內核不再支持安全層。使用內核能力,也可以實現類似的限制。工具lcap用來查詢和調整內核能力約束集(kernel capabilities bounding set)。在啟動腳本中加入以下命令,就可以實現對具有i屬性和a屬性文件的保護:
lcap CAP_LINUX_IMMUTABLE
lcap CAP_SYS_RAWIO
第一個命令刪除任何用戶(包括超級用戶)對i標志的修改能力。第二個命令刪除任何用戶(主要針對超級用戶)對塊設備的原始訪問(raw Access)能力,防止一些技術高超的攻擊者直接修改文件系統索引節點的immutable域。BTW,在系統啟動時,CAP_SYS_RAWIO能力應該直接刪除,這個能力是一個非常大的潛在威脅。高明的攻擊者獲得了超級用戶權限之後,通過/dev/kmem設備可以直接修改內核內存。通過這種方式,可以破壞系統的內核能力約束集(kernel capabilities bounding)。如果沒有任何參數,會列出內核支持的能力和目前生效的內核能力。
一旦一個內核能力被刪除,就只有在系統重新啟動,進入到單用戶模式才能刪除能力限制。
感興趣的讀者,可以從下面的連接中獲得更為詳細的能力方面的知識:
LCAP - Linux內核能力約束集編輯器(Linux Kernel Capabilities Bounding Set Editor)
http://pw1.netcom.com/~spoon/lcap/
4.我們應該使用chattr做什麼?
主機直接暴露在Internet或者位於其它危險的環境,有很多shell帳戶或者提供HTTP和FTP等網絡服務,一般應該在安裝配置完成後使用如下命令:
chattr -R +i /bin /boot /etc /lib /sbin
chattr -R +i /usr/bin /usr/include /usr/lib /usr/sbin
chattr +a /var/log/messages /var/log/secure (...)
如果很少對帳戶進行添加、變更或者刪除,把/home本身設置為immutable屬性也不會造成什麼問題。在很多情況下,整個/us