檢查檔案系統樹狀結構
只要您懷疑系統的完整性受到破壞,便可以執行 tcbck 指令來檢查檔案系統樹狀結構。
若要檢查檔案系統樹狀結構,請鍵入:
tcbck -t tree當 tcbck 指令與 tree 值一起使用時,即會檢查是否正確安裝系統上的所有檔案 (這可能要花費很長的時間)。如果 tcbck 指令探查到任何可能威脅系統安全的檔案,您可以變更懷疑的檔案以移除造成傷害的屬性。此外,也會對檔案系統中的所有其他檔案執行下列檢查:
- 如果檔案擁有者是 root,而且檔案已設定 SetUID 位元,則會清除 SetUID 位元。
- 如果檔案群組是管理群組、檔案是可執行檔,而且檔案已設定 SetGID 位元,則會清除 SetGID 位元。
- 如果檔案已設定 tcb 屬性,則會清除此屬性。
- 如果檔案是一種裝置 (字元或區塊特殊檔案),則會移除該檔案。
- 如果檔案是 /etc/security/sysck.cfg 檔案中所述路徑名稱的附加鏈結,則會移除該鏈結。
- 如果檔案是 /etc/security/sysck.cfg 檔案中所述路徑名稱的附加符號鏈結,則會移除該符號鏈結。
註: 在執行 tcbck 指令之前,必須將所有裝置項目新增至 /etc/security/sysck.cfg 檔中,否則將無法使用系統。若要將授信裝置新增至 /etc/security/sysck.cfg 檔,請使用 -l 旗標。
小心: 請勿執行 tcbck -y tree 指令選項。這個選項會刪除及停用 TCB 中未適當列出的裝置,而且可能會停用您的系統。