Mount Optionen für NFS-Dateisysteme Im folgenden Text werden einige Optionen aufgelistet, die dem - o-Flag folgen können, wenn Sie ein NFS-Dateisystem installieren. Eine vollständige Liste der Optionen finden Sie auf der man-Seite von mountnfs (1M). Diese Optionen können verwendet werden, um das Wiederholungsverhalten zu wählen, wenn ein Mount fehlschlägt. Die Option bg bewirkt, dass die Mountversuche im Hintergrund ausgeführt werden. Die fg-Option bewirkt, dass der Mount-Versuch im Vordergrund ausgeführt wird. Die Voreinstellung ist fg. Was die beste Auswahl für Dateisysteme ist, die verfügbar sein müssen. Diese Option verhindert die weitere Verarbeitung, bis die Montage beendet ist. Bg ist eine gute Auswahl für nicht-kritische Dateisysteme, da der Client eine andere Verarbeitung ausführen kann, während er darauf wartet, dass die Mount-Anfrage abgeschlossen ist. Diese Option verbessert die Leistung großer sequentieller Datenübertragungen. Daten werden direkt in einen Benutzerpuffer kopiert. Im Kernel auf dem Client wird kein Caching durchgeführt. Diese Option ist standardmäßig deaktiviert. Bisher wurden alle Schreibaufträge sowohl vom NFS-Client als auch vom NFS-Server serialisiert. Der NFS-Client wurde geändert, um es einer Anwendung zu ermöglichen, gleichzeitige Schreibvorgänge sowie gleichzeitige Lese - und Schreibvorgänge in einer einzigen Datei auszuführen. Sie können diese Funktionalität auf dem Client mit der Option forcedirectio mount aktivieren. Wenn Sie diese Option verwenden, aktivieren Sie diese Funktionalität für alle Dateien innerhalb des gemounteten Dateisystems. Sie können diese Funktionalität auch in einer einzigen Datei auf dem Client mithilfe der directio () - Schnittstelle aktivieren. Wenn diese Funktionalität nicht aktiviert ist, werden die Schreibvorgänge in Dateien serialisiert. Wenn gleichzeitig gleichzeitige Schreibvorgänge oder gleichzeitige Lesevorgänge und Schreibvorgänge auftreten, werden POSIX-Semantiken für diese Datei nicht mehr unterstützt. Ein Beispiel für die Verwendung dieser Option finden Sie unter Verwenden des Befehls mount. Mit dieser Option können Sie auf Dateien zugreifen, die größer als 2 Gbyte sind, auf einem Server, auf dem die Solaris 2.6-Version ausgeführt wird. Ob auf eine große Datei zugegriffen werden kann, kann nur auf dem Server gesteuert werden, so dass diese Option auf NFS-Versionen der Version 3 leise ignoriert wird. Ab Release 2.6 werden standardmäßig alle UFS-Dateisysteme mit großen Dateien angehängt. Für mount, die das Protokoll der NFS-Version 2 verwenden, führt die Option largefiles dazu, dass der Mount mit einem Fehler fehlschlägt. Diese Option für UFS-Mounts garantiert, dass keine großen Dateien im Dateisystem existieren können. Weitere Informationen finden Sie auf der man-Seite von mountufs (1M). Da die Existenz von großen Dateien nur auf dem NFS-Server gesteuert werden kann, gibt es keine Option für nolargefiles, wenn Sie NFS-Mounts verwenden. Versuche, ein Dateisystem zu NFS-mounten, indem Sie diese Option verwenden, werden mit einem Fehler zurückgewiesen. Ab der Solaris 10-Version entspricht die Option nosuid der Angabe der Option nodevices mit der Option nosetuid. Wenn die Option nodevices angegeben ist, ist das Öffnen von gerätespezifischen Dateien auf dem gemounteten Dateisystem nicht zulässig. Wenn die Option nosetuid angegeben ist, werden das setuid-Bit und das setgid-Bit in Binärdateien, die sich im Dateisystem befinden, ignoriert. Die Prozesse werden mit den Berechtigungen des Benutzers ausgeführt, der die Binärdatei ausführt. Die Option suid entspricht der Angabe der Geräteoption mit der Option setuid. Wenn die Geräteoption angegeben ist, ist das Öffnen von gerätespezifischen Dateien auf dem gemounteten Dateisystem erlaubt. Wenn die setuid-Option angegeben ist, werden das setuid-Bit und das setgid-Bit in Binärdateien, die sich im Dateisystem befinden, vom Kernel geehrt. Wenn keine Option angegeben ist, ist die Standardoption suid. Die das Standardverhalten der Angabe der Geräteoption mit der Option setuid bereitstellt. Die folgende Tabelle beschreibt den Effekt der Kombination von nosuid oder suid mit Geräten oder Knotenpunkten. Und setuid oder nosetuid. Beachten Sie, dass in jeder Kombination von Optionen die restriktivste Option das Verhalten bestimmt. Verhalten aus den kombinierten Optionen Die Option nosuid bietet zusätzliche Sicherheit für NFS-Clients, die auf potenziell nicht vertrauenswürdige Server zugreifen. Die Installation von Remote-Dateisystemen mit dieser Option reduziert die Wahrscheinlichkeit einer Privileg-Eskalation durch das Importieren nicht vertrauenswürdiger Geräte oder das Importieren nicht vertrauenswürdiger setuid-Binärdateien. Alle diese Optionen sind in allen Solaris-Dateisystemen verfügbar. Diese Option erzwingt die Verwendung des öffentlichen Dateizugriffs beim Kontakt mit dem NFS-Server. Wenn das öffentliche Dateizugriff vom Server unterstützt wird, ist die Montageoperation schneller, da das MOUNT-Protokoll nicht verwendet wird. Da das MOUNT-Protokoll nicht verwendet wird, ermöglicht die öffentliche Option auch die Installation über eine Firewall. Die Optionen - rw und - ro geben an, ob ein Dateisystem read-write oder read-only sein soll. Der Standardwert ist read-write, was die geeignete Option für Remote-Home-Verzeichnisse, Mail-Spooling-Verzeichnisse oder andere Dateisysteme ist, die von Benutzern geändert werden müssen. Die schreibgeschützte Option ist für Verzeichnisse geeignet, die von Benutzern nicht geändert werden sollen. Beispielsweise sollten freigegebene Kopien der Man-Seiten nicht von Benutzern beschreibbar sein. Mit dieser Option können Sie den Authentifizierungsmechanismus festlegen, der während der Mount-Transaktion verwendet werden soll. Der Wert für Modus kann einer der folgenden Werte sein. Verwenden Sie krb5 für Kerberos-Version 5-Authentifizierungsdienst. Verwenden Sie krb5i für Kerberos Version 5 mit Integrität. Verwenden Sie krb5p für Kerberos Version 5 mit Privatsphäre. Verwenden Sie keine für keine Authentifizierung. Verwenden Sie dh für Diffie-Hellman (DH) Authentifizierung. Verwenden Sie sys für die Standard-UNIX-Authentifizierung. Die Modi sind auch in etc nfssec. conf definiert. Ein NFS-Dateisystem, das mit der Option soft installiert wird, gibt einen Fehler zurück, wenn der Server nicht antwortet. Die harte Option bewirkt, dass das Mount weiter versucht, bis der Server antwortet. Die Voreinstellung ist schwer. Die für die meisten Dateisysteme verwendet werden sollten. Anwendungen häufig nicht überprüfen Rückgabewerte aus Soft-Mounted-Dateisysteme, die die Anwendung kann fehlschlagen oder kann zu beschädigten Dateien führen. Wenn die Anwendung die Rückgabewerte überprüft, können Routingprobleme und andere Bedingungen die Anwendung weiterhin verwechseln oder zu einer Beschädigung der Datei führen, wenn die Option soft verwendet wird. In den meisten Fällen sollte die Option soft nicht verwendet werden. Wenn ein Dateisystem mithilfe der harten Option eingebunden wird und nicht mehr verfügbar ist, hängt eine Anwendung, die dieses Dateisystem verwendet, bis das Dateisystem verfügbar wird. UNIX Linux: Erklärt setuid Dateiberechtigung Wht bedeutet es, dass eine Datei 8220setuid8221 ist Behalten Sie den Überblick über alle setuid-fähigen Dateien setuid bedeutet gesetzt Benutzer-ID bei der Ausführung. Wenn setuid-Bit eine Datei aktiviert hat, erhält der Benutzer, der diese ausführbare Datei ausführt, die Berechtigungen der einzelnen oder der Gruppe, die die Datei besitzt. Sie müssen den Befehl ls - l oder find verwenden, um setuid-Programme anzuzeigen. Alle setuid Programme zeigen S oder s im Berechtigungsbit (owner-execute) des ls-Befehls an. Geben Sie den folgenden Befehl ein: ls - l usr bin passwd Wie liste ich alle setuid-aktivierten Dateien auf Der folgende Befehl entdeckt und druckt alle setuid-Dateien auf dem lokalen System: find - xdev (-perm -4000) - typ f-print0 xargs -0 ls - l Das s-Bit kann mit folgendem Befehl entfernt werden: chmod - s-Pfad zur Datei Setuid-Programme Risk Ein Angreifer kann setuid-Binaries mithilfe eines Shell-Skripts ausnutzen oder falsche Daten bereitstellen. Benutzer sollten normalerweise keine setuid-Programme installiert haben, insbesondere setuid für andere Benutzer als sich selbst. Zum Beispiel, sollten Sie nicht finden, setuid aktiviert binäre für root unter home vivek crack. Diese sind in der Regel Trojan Horses Art von Programmen. In diesem Beispiel führt der Benutzer vivek den Befehl 8220 usr bin vi shared finanzdata. txt8221 aus, und die Berechtigung für den Befehl vi und die Datei shared financialdata. txt lauten wie folgt: Vivek hat die Berechtigung, usr bin vi auszuführen, aber keine Berechtigung Gelesenes geteiltes financialdata. txt. Wenn also vi versucht, die Datei zu lesen, wird eine Fehlermeldung 8220permission denied8221 an vivek angezeigt. Wenn Sie jedoch das SUID-Bit auf vi setzen: chmod us usr bin vi ls - l usr bin vi Wenn nun vivek dieses SUID-Programm ausführt, wird der Zugriff auf shareddatendaten. txt gewährt. Wie funktioniert es? Das UNIX-System doesn8217t denken, vivek liest Datei über vi, es denkt 8220root8221 ist der Benutzer und damit der Zugriff gewährt wird. Wie überprüfe und protokolliere setuid Systemaufruf unter Linux Für jedes setuid Binary auditd kann für System-Auditing unter Linux verwendet werden. Sie kann den Setuid-Systemaufruf protokollieren und überprüfen. Edit etc audit audit. rules: vi etc audit audit. rules Führen Sie den folgenden Befehl aus, um setuid enabled binary from bin zu bekommen, und fügen Sie sie wie folgt hinzu: find bin - type f - perm -04000 Speichern und schließen Sie die Datei. Starten Sie auditd neu: service auditd restart Verwenden Sie den Befehl aureport, um Auditberichte anzuzeigen: aureport --key --summary ausearch --key Zugriff --raw aureport --file --summary ausearch --key access --raw aureport - x --summary Ausearch --key access --file bin mount --raw aureport --user --summary - i Siehe Linux-Audit-Dateien, um zu sehen, wer Änderungen an einer Datei vorgenommen hat. Referenzen: Über den Autor: Vivek Gite ist ein erfahrener sysadmin und ein Trainer für das Linux Unix amp shell Scripting. Folgen Sie ihm auf Twitter. ODER lesen Sie mehr davon: Apache: Graceful Server Neustart von Shell HowTo: Öffnen einer Tar. gz-Datei unter Linux Unix RHEL CentOS: yum Listet nur Sicherheitsupdates an Binden Sicherheit: Transaktionssignaturen (TSIG) Konfiguration Ausführen Befehl mit SSH Linux UNIX Shell ausführen : Sortieren Datum UNIX Datum Befehl Beispiele Anzeigen von Datum und Uhrzeit in Linux UNIX Linux: Erklären Sie die neun Berechtigungen Bits auf Dateien Red Hat CentOS Installieren Sie modsecurity Apache Intrusion Erkennung Andhellip
No comments:
Post a Comment