先进的centos7文件安全与centos7 .2

分析家

特别的文件属性:
    可以设置一个不可变的文件, 保障文件不被错误的操作以及黑客和攻击者而被删除，可以使用附加的旗（flag,)，使用户和服务可以附加数据到文件，但不能改变前面的数据、也不能删除数据。
    使用：“lsattr” 命令看文件属性, 使用“chattr”命令修改文件属性。chattr 命令用+/-来增加和删除属性。

chattr +x file.txt    >> 增加属性 x 到 file.txt文件
chattr -x file.txt   >> 移除属性 x 到 file.txt文件
文件属性例子:

• 　　显示属性
  

[root@localhost ~]# lsattr a.txt
---------------- a.txt

• 　　设置不可变熟悉:
  

[root@localhost ~]# chattr +i a.txt

• 　　显示属性:
  

[root@localhost ~]# lsattr a.txt
----i----------- a.txt

• 　　禁止活动属性使用 “-”号 :
  

[root@localhost ~]#  chattr -i a.txt
可以使用的属性:
a: 仅用于附加
i: 不可变文件, 不能用于删除、修改、重命名, 没有连接点到这个文件。
S: 同步写入磁盘文件.
u: 文件设置为删除, 但内容被保存,并且用户可以不删除它.
访问控制列表--FACL:
基本的文件有: 拥有者、组、其它用户三种访问控制。
“getfacl” 命令列出文件/目录的访问控制列表。
“setfacl” 改变文件和目录的访问控制列表/

• 　　显示文件 a.txt的访问控制列表:
  

[root@localhost ~]# getfacl a.txt
# file: a.txt
# owner: en1
# group: en
user::rw-
user:en2:rwx                    #effective:---
group::r--                      #effective:---
mask::---
other::r—
其中，mask为：

• 　　给文件a.txt增加 read 和 write 权限到用户 “us1”
  

[root@localhost ~]# setfacl -m u:us1:rw a.txt

• 　　给文件a.txt增加 read 和 write 权限到用户 “us2”, 同时增加只读权限到组“grp1”
  

[root@localhost ~]# setfacl -m u:us2:rwx,g:grp1:r a.txt

• 　　现在在显示文件 a.tx的文件访问列表:
  

[root@localhost ~]# getfacl a.txt
# file: a.txt
# owner: en1
# group: en
user::rw-
user:us1:rw-
user:us2:rwx
group::r--
group:grp1:r--
mask::rwx
other::r—

• 　　删除所有的文件访问列表规则:
  

[root@localhost ~]# setfacl -b a.txt

• 　　删除用户 “us1”的所有文件访问列表规则
  

[root@localhost ~]# setfacl -x u:us1 a.txt
-R 选项提供递归访问所有文件列表，如果没有使用；为：目录后才是内容
“setfacl”命令:能使用的其它选项
-b : 删除所有用户访问列表
-x : 删除一个指定用户的访问列表
-k : 删除缺省的访问列表
-m : 修改访问列表
-R : 提供递归访问列表

centos7.2 15.11发布说明

　　
1. 主要改动
　　
此部份有待检阅。

• 从发行版 1503 （abrt>= 2.1.11-19.el7.centos.0.1）开始，CentOS-7 可以直接向bugs.centos.org报告bug，你在这里可以找到更多关于此特性的信息
  
• 　　sudo 现在能够验证命令的校验和
  
• 　　一个 Kerberos https 代理现在可供进行身份管理
  
• NSS 不再接受 < 768 的 DH 密钥参数，也不再接受大小 < 1024 位的 RSA/DSA 证书。NSS现在默认启用了 TLS1.1/1.2
  
• 　　许多软件包现在支持 NSS TLS1.1/1.2 以及 EC 密码
  
• 　　SCSI LUN 的最大数量已经被增加了。
  
• 　　virt-v2v 命令行工具现在被完全支持
  
• 　　dd 现在可以显示传输进度
  
• 　　OpenJDK7 现在为 TLS 连接支持 ECC
  
• 　　TPM 2.0版本的驱动级别支持已经被加入
  
• 　　tcpdump 现在支持纳秒时间戳
  
• 　　更新了各种网络栈（即 VXLANs、Data Center TCP、TCP/IP Stack、IPSec 等）
  
• 　　更新了各种原子性操作相关的软件包
  
• 　　更新了 libATA、FCoE 以及 DCB 存储驱动
  
• 　　更新了各种存储、网络以及图形驱动
  
• 　　若在安装时添加了额外的软件仓库，则 Anaconda 现在可以支持 NFS
  
• 　　以下软件经过了 rebase 操作：Gnome 从 3.8 到 3.14、KDE 从 4.3 到 4.14, Xorg-X11-Server 从 1.15 到 1.17、libreoffice 从 4.2.8 到 4.3.7、openldap 从 2.4.39 到 2.4.40 等等
  

因为这些 rebase 的第三方软件仓库（像是 EPEL、ELRepo、nux! 等等）也许没有把他们所有的软件包重新构建以便在这个发行版里使用最新的软件包，所以这也许会导致不能升级到新的发行版。直到他们修复软件仓库的依赖关系为止。你应该联系第三方软件仓库的所有者以便修复问题或者从第三方仓库里移除有问题的软件包以便完成发行版的升级。

• 　　技术预览：支持 Btrfs 文件系统、OverlayFS、DNSSEC、kpatch、virt-p2v 工具以及 Cisco VIC 内核驱动
  

更多数据已收录在此处。
　　
2. 废弃的功能
　　
该发行版没有废弃的功能。
3. 已知问题
　　
上游的已知问题清单已收录在此处。由于我们是从同一组源码所创建出来，上述的大部份问题，就算不是全部，都很有机会出现在 CentOS Linux。

• 　　initramfs 文件现在明显比 CentOS-7（1503）大。如果你的 /boot 分区小于 400MB，你也许想减小 /etc/yum.conf 文件内的 installonly_limit 以便减少已安装内核的数量。新的系统安装应该考虑使用 1GB 作为 /boot 分区的大小。
  
• libreoffice 的电子表格组件calc引入了一个错误，这影响到电子表格的排序功能。请参见这里和这里的错误报告。
  
• 此发行版本内的新版 openssh 并不会像旧版本般于 .ssh/config 档内找到首个配对便离开。这意味了当配置文件有多个 host 部份同时配对某台主机时，它们全部都会获取纳。举个例说：要是你同时有 host1.example.com 的设置和 *.example.com 的设置，这两组设置都会被套用在 host1.example.com 上，但只有 *.example.com 会被套用在 host2.example.com。
  
• 很多用户投诉新缺省的 NetworkManager 工具不会启用乙太网络界面，安装时必须以人手启用。
  
• 　　安装和使用 CentOS-7(1511) 至少需要1024 MB的内存，当使用 Live ISO 安装时，1024 MB内存会造成安装缓慢或者安装失败。安装 LiveGNOME 或 LiveKDE 则推荐使用至少1344 MB的内存。
  
• 　　如果你画面的解像度是 800x600 或更低，安装画面的下端将会被裁掉。
  
• VMware Workstation／VMware ESXi 可让你安装两种不同的虚拟 SCSI 适配器：BusLogic 和 LsiLogic。然而 CentOS-7 的缺省内核并不包含对应的两个驱动程序，因此利用 CentOS Linux 的缺省值安装在 SCSI 硬盘上，系统将会不能开机。假如你选择 Red Hat Enterprise Linux 作为操作系统，它会选择适用的半虚拟化 SCSI 适配器。
  
• ifconfig／netstat 等常用工具已有一段时间被标签为降级，而 net-tools 组件亦不再纳入 @core 群组内，因此缺省是不会安装它。如果你真的需要它，请利用nmcli c up ifname <界面名称> 启用你的网络，然后通过 yum 安装该组件。Kickstart 用户可以在安装时加入 net-tools 这个组件。
  
• AlpsPS/2 的 ALPS DualPoint TouchPad 在 CentOS-7 的缺省下不能运用边沿滚动。
  
• 截至 VirtualBox 5.0.10 版，vBox additions 都不能创建。更多信息参见此处。这次修复开始于 5.0.12。
  
• 从 7.1 升级至 7.2 时，管理组件更新的 GNOME 应用程序会被删除。这多数是由于 gnome-packagekit 组件被分割起来。手动执行 yum install gnome-packagekit-updater 可修正这个问题。
  

4. 已修正问题
　　

• 推荐去勘误页面这里查看所有已修正的问题，并查看2015年11月9号之后的修正。
  

5. 组件及应用程序
5.1. 被 CentOS 修改了的组件
　　

• 　　abrt
  
• 　　anaconda
  
• 　　apache-commons-net
  
• 　　basesystem
  
• 　　chrony
  
• 　　compat-glibc
  
• 　　dhcp
  
• 　　firefox
  
• 　　grub2
  
• 　　httpd
  
• 　　initial-setup
  
• 　　ipa
  
• 　　kabi-yum-plugins
  
• 　　kernel
  
• 　　libreport
  
• 　　ntp
  
• 　　openssl098e
  
• PackageKit
  
• 　　plymouth
  
• 　　redhat-lsb
  
• 　　redhat-rpm-config
  
• 　　shim-signed
  
• 　　sos
  
• 　　subscription-manager
  
• 　　system-config-date
  
• 　　system-config-kdump
  
• 　　thunderbird
  
• 　　xulrunner
  
• 　　yum
  

　　
　　
5.2. 被 CentOS 删除但包含在上游发行内的组件
　　

• 　　Red_Hat_Enterprise_Linux-Release_Notes-7-*
  
• 　　redhat-access-gui
  
• 　　redhat-bookmarks
  
• 　　redhat-indexhtml
  
• 　　redhat-logos
  
• 　　redhat-release-*
  
• 　　subscription-manager-firstboot
  
• 　　subscription-manager-migration
  
• 　　subscription-manager-migration-data
  

　　
　　
5.3. 被 CentOS 新增但不包含在上游发行内的组件
　　

• 　　centos-bookmarks
  
• 　　centos-indexhtml
  
• 　　centos-logos
  
• 　　centos-release