31、Linux 用户与安全管理全解析

Linux 用户与安全管理全解析

1. 系统完整性验证

在 Linux 系统中，若怀疑某个程序的 SUID 或 SGID 位被设置，可通过 RPM 工具来验证其软件包的完整性。以 RPM 系统为例，可使用如下命令：

rpm -V packagename

此命令会显示 packagename 软件包中文件权限的更改情况，包括 SUID 或 SGID 位的变化。不过，原始软件包文件中的程序也可能存在 SUID 或 SGID 位设置不当的情况。

2. 日志文件监控

2.1 监控日志文件的重要性

Linux 系统是动态的，保持文件系统的良好秩序对安全至关重要。许多 Linux 程序，如服务器、登录进程和内核等，会将活动摘要记录在日志文件中。这些日志文件包含了重要系统活动的概要，是重要的安全工具。尽管入侵者可能会删除日志文件中的活动证据，但监控日志文件对于检测入侵企图或软件故障仍十分关键。

2.2 定位重要日志文件

多数日志文件由系统日志守护进程 syslogd 和内核日志守护进程 klogd 维护，它们依赖 /etc/syslog.conf 文件进行配置。该文件由一系列行组成，用于定义如何记录特定类型的消息。其中，以 # 开头的行是注释，会被忽略；非注释行以日志项类型（“选择器”）开头，以日志记录“动作”结尾。例如：