使用Linux系统的一些安全建议
- 在启动startx后启动vlock托管tty.
- 在xinitrc设置定时密码锁屏
- 使用root账户的终端时候使用tmux托管会话,并在tmux 设置定时密码锁
- 对分区提供luks加密
- 设置比较严格的默认权限
下面是一些示例:
编写一个 startxwithvlock 用来安全使用 startx
#!/bin/sh
startx &
vlock
在xinitrc 加入 xautolock 和 slock 用来定时锁定会话
xautolock -time 10 -lock slock & # 在无操作十分种后锁定会话
在root的home下的.tmux.conf加入定时锁定
# use vlock
set -g lock-after-time 1200
set -g lock-command vlock
对分区提供luks加密
对分区使用:
cryptsetup luksFormat /dev/sdXx # 对 sdXx 进行磁盘加密
cryptsetup luksOpen /dev/sdXx cryptdisk # 打开已经加密的磁盘并把解密的节点命名为 cryptdisk 解密后的节点为 /dev/mapper/cryptdisk
mkfs.ext4 /dev/mapper/cryptdisk # 对cryptdisk进行格式化
mount -t ext4 /dev/mapper/cryptdisk /mnt # 挂载 /dev/mapper/cryptdisk
umount /dev/mapper/cryptdisk # 卸载
cryptsetup luksClose cryptdisk # 关闭加密磁盘解密后的节点
设置比较严格的默认权限
在shell 启动加载的文件中加入:
umask 066 # 默认使用 0600 的权限
0600 权限也就是只有用户可以读写
组和其他人都不可以读写
这里可能有点难以理解,请看下面的例子
$ umask 066
$ touch a
$ ls -lh a
-rw------- 1 tom jack 0 Feb 27 08:45 a
待补充
用到的命令:
- vlock 在 util-linux 中提供 # 用来锁住终端
- tmux 在 tmux 中提供 # 终端复用器
- xautolock 在 xautolock 中提供 # 定时锁住X会话
- slock 在 slock 中提供 # 一个简洁的X锁屏
- cryptsetup 在 cryptsetup 中提供 # 提供操作加密磁盘的用户空间工具
- mkfs.ext4 在 e2fsprogs 中提供 # 提供操作ext分区的用户空间工具
- mount 在 util-linux 中提供 # 提供挂载卸载文件系统的操作
- umask 是 shell 内置的一个命令 # 用来设置默认权限
