23、Unix 系统文件管理与密码学基础

Unix 系统文件管理与密码学基础

1. 文件系统安全与管理

• 扫描未授权设备文件
  在 Unix 系统中，可能存在恶意用户利用隐藏在特定目录下的设备文件来获取超级用户权限的情况。例如，某些恶意用户会利用 /dev/kmem 设备，通过符号调试器或自定义程序修改其特定位置的代码，从而绕过密码执行 su 命令成为 root 用户，之后再将代码恢复正常。为了防范这种情况，我们需要定期扫描磁盘以查找未授权的设备文件。
  • 使用 ncheck 命令：运行 ncheck -s 可打印出所有设备文件的名称。
  • 使用 find 命令： # find / \( -type c -o -type b \) -exec ls -l {} \; 可以查找所有字符设备文件或块设备文件并列出详细信息。如果系统中有 NFS 挂载的目录，则使用 # find / \( -local -o -prune \) \( -type c -o -type b \) -exec ls -l {} \; 。需要注意的是，某些版本的 NFS 允许客户端机器上以 root 用户运行的用户在导出的卷上创建设备文件，这是一个重大的安全隐患，在使用 NFS 导出可写目录时要格外小心。