ubuntu spool安全设置指南

Ubuntu Spool 安全设置指南

一 核心原则与风险

• /var/spool 是系统与服务存放队列与临时文件的敏感目录，典型子目录包括 /var/spool/cups（打印）、/var/spool/postfix（邮件）。应仅允许相关守护进程与授权用户访问，避免权限过宽导致信息泄露、提权或篡改。
• 安全基线建议：最小权限与最小暴露面、目录与文件属主/属组正确、定期清理陈旧文件、开启审计与监控、保持系统与服务更新、启用强制访问控制与防火墙。

二 权限与属主基线

• 通用目录基线
  • 建议将 /var/spool 设为仅管理员可写：权限 0755，属主 root:root。
  • 仅对必要子目录放宽访问，且遵循“仅服务用户+必要权限”的原则。
• 打印队列 /var/spool/cups
  • 建议属主 root:lp，权限 0755；其下运行时目录（如 /var/spool/cups/tmp）可按服务需求设为 0700 并属主 lp:lp，避免其他用户写入。
  • 清理陈旧作业前先暂停服务，避免影响正在打印的任务：例如清理前可先停止打印服务，执行清理后再启动。
• 邮件队列 /var/spool/postfix
  • 建议属主 postfix:postdrop，权限 0755；其下子目录（如 /var/spool/postfix/incoming）通常 0700 且属主 postfix:postfix。
  • 修改后重启服务以生效：sudo systemctl restart postfix。
• 操作要点
  • 变更前备份关键配置与目录结构；变更后用 ls -ld 与 namei -l 复核路径权限链路。
  • 避免使用 0777 等过宽权限；优先采用服务专用用户与组进行隔离。

示例命令（按需执行，示例为常见安全基线）：

• 通用基线
  • sudo chown root:root /var/spool
  • sudo chmod 0755 /var/spool
• CUPS
  • sudo chown -R root:lp /var/spool/cups
  • sudo find /var/spool/cups -type d -exec chmod 0755 {} \;
  • sudo find /var/spool/cups -type f -exec chmod 0644 {} \;
  • 如需更严：sudo chmod 0700 /var/spool/cups/tmp && sudo chown lp:lp /var/spool/cups/tmp
• Postfix
  • sudo chown -R postfix:postfix /var/spool/postfix
  • sudo find /var/spool/postfix -type d -exec chmod 0755 {} \;
  • sudo find /var/spool/postfix/incoming /var/spool/postfix/active /var/spool/postfix/deferred -type d -exec chmod 0700 {} \;
  • sudo systemctl restart postfix

三 审计监控与维护

• 审计与日志
  • 使用 auditd 对 /var/spool 及其子目录设置监控（如 inotify/文件访问审计），持续记录创建、删除、重命名等事件，便于溯源。
  • 定期检查系统日志与队列日志（如邮件日志 /var/log/mail.log），关注异常作业积压、失败重试与可疑权限变更。
• 清理与容量
  • 建立例行清理策略，删除过期/失败作业与临时文件，避免被用作隐藏恶意内容或耗尽磁盘。
  • 对 /var/spool/cups 等运行时目录，优先通过服务自带命令或接口清理，减少直接手工删除的风险。
• 更新与加固
  • 保持系统与打印/邮件等组件更新：sudo apt update && sudo apt upgrade。
  • 启用 UFW 限制暴露面（仅开放必要端口与服务），减少来自外部的滥用尝试。

四 强制访问与网络边界

• 强制访问控制
  • Ubuntu 默认启用 AppArmor，可为 cupsd、postfix 等守护进程加载或定制策略，限制其仅能访问 /var/spool 下必要路径与文件类型，降低被攻破后的横向移动风险。
• 网络边界
  • 通过 UFW 仅放行必要服务端口（如邮件提交/传输端口 25/587/465 视服务而定），并限制来源网段；对打印服务尽量置于受控网段或启用认证与加密通道。

五 常见误区与修正

• 误区：为图省事将 /var/spool 或子目录设为 0777。修正：恢复为 0755/0700 等最小权限，并以服务专用用户/组进行属主隔离。
• 误区：直接 rm -rf /var/spool/cups/* 清理打印队列。修正：先暂停打印服务，确认无正在打印任务后再清理，避免影响业务与产生异常日志。
• 误区：忽视审计与更新。修正：启用 auditd 与日志集中，保持系统与组件及时更新，减少已知漏洞利用窗口。