鎖定關(guān)鍵文件，增強(qiáng)Linux安全性

引言：在Linux系統(tǒng)中，如果攻擊者通過(guò)遠(yuǎn)程或者本地攻擊手段獲得了系統(tǒng)的root權(quán)限，那么對(duì)運(yùn)維人員將是一場(chǎng)災(zāi)難。在這種情況下，文件系統(tǒng)將是保護(hù)系統(tǒng)安全的最后一道防線，通過(guò)對(duì)文件系統(tǒng)進(jìn)行合理的屬性設(shè)置，可以最大限度地減小攻擊者對(duì)系統(tǒng)的破壞程度。

在Linux系統(tǒng)中，如果一個(gè)用戶以root的權(quán)限登錄或某個(gè)進(jìn)程以root的權(quán)限運(yùn)行，那么其使用權(quán)限就不再有任何的限制了。因此，如果攻擊者獲得了系統(tǒng)的root權(quán)限，那么對(duì)運(yùn)維人員將是一場(chǎng)災(zāi)難。這種情況下，文件系統(tǒng)將是保護(hù)系統(tǒng)安全的最后一道防線，通過(guò)對(duì)文件系統(tǒng)合理的屬性設(shè)置可最大限度地減小攻擊者對(duì)系統(tǒng)的破壞。對(duì)某個(gè)文件或目錄設(shè)置了較為嚴(yán)格的擴(kuò)展屬性后，即使root用戶也無(wú)法修改或刪除。

在Linux系統(tǒng)中對(duì)文件或目錄設(shè)置擴(kuò)展屬性主要是通過(guò)chattr命令，主要用法：

chattr [-R] +/- i/a文件

-R：遞歸修改所有的文件及子目錄，是一個(gè)可選項(xiàng)；

+：表示增加擴(kuò)展屬性；

-：表示減少擴(kuò)展屬性；

i：表示只讀屬性，增加該屬性之后，任何人包括root用戶也無(wú)權(quán)寫(xiě)入更改；

a：表示追加屬性，增加該屬性后，只能向文件中添加數(shù)據(jù)，而不能刪除，多用于服務(wù)器日志文件安全。

通過(guò)chattr命令鎖定系統(tǒng)重要的文件或目錄是保護(hù)文件系統(tǒng)安全最直接、最有效的手段。

例 如，將/etc/passwd和/etc/shadow文件增加只讀屬性。

此時(shí)再創(chuàng)建用戶就會(huì)出現(xiàn)錯(cuò)誤提示。

useradd：無(wú)法打開(kāi)密碼文件

lsattr命令可用于顯示chattr命令設(shè)置的擴(kuò)展屬性。

如管理員要對(duì)系統(tǒng)中用戶進(jìn)行操作，可去掉/etc/passwd和/etc/shadow文件的只讀屬性?！?br>