ASET 可维护三个调优文件。调优文件中的每项都占用一行。每项中的字段按以下顺序排列:
pathname mode owner group type |
文件的全路径名
用于表示权限设置的五位数
文件的属主
文件的组属主
文件的类型
可在路径名中使用常规的 shell 通配符(例如星号 (*) 和问号 (?)),以便引用多个路径。有关更多信息,请参见 sh(1)。
mode 表示限制最少的值。如果当前设置已经比指定值的限制多,则 ASET 不会放松权限设置。例如,如果指定的值为 00777,则权限保持不变,因为 00777 始终比当前设置的限制少。
此过程说明 ASET 如何处理模式设置。如果降低安全级别或删除 ASET,则此过程有所不同。从先前执行时的级别降低安全级别时,或是要将系统文件恢复到首次执行 ASET 之前的状态时,ASET 可识别正在执行的操作并降低保护级别。
必须使用 owner 和 group 的名称,而不是使用数字 ID。
可以使用问号 (?) 来代替 owner、group 和 type,以防止 ASET 更改这些参数的现有值。
type 可以是 symlink、目录或文件。symlink 是符号链接。
较高安全级别的调优文件可将文件权限重置为至少与较低级别的文件权限具有相同限制。另外,在较高的安全级别,还会向列表中添加其他文件。
一个文件可以与多个调优文件项相匹配。例如,etc/passwd 与 etc/pass* 和 /etc/* 项相匹配。
如果两个项具有不同权限,则文件权限将设置为限制性最高的值。在以下示例中, /etc/passwd 文件的权限设置为 00755,这是 00755 和 00770 中限制性较高的值。
/etc/pass* 00755 ? ? file /etc/* 00770 ? ? file |
如果两个项指定的 owner 或 group 不同,则后一项优先级更高。在以下示例中,/usr/sbin/chroot 的属主设置为 root。
/usr/sbin/chroot 00555 bin bin file /usr/sbin/chroot 00555 root bin file |