最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
Linux 目录权限管理:误删除防护的关键安全策略
时间:2026-07-08 09:41:56 编辑:袖梨 来源:一聚教程网
防止Linux目录误删除需构建三层防护:文件系统级锁定(chattr +i/+a)、权限收窄(chown/chmod)及操作审计(别名、sudo限制、auditctl监控),三者缺一不可。
防止Linux目录误删除,不能只靠“小心点”,得用真正生效的防护层。最核心的是文件系统级锁定,配合权限收窄和操作约束,三者缺一不可。
用 chattr +i 冻结关键目录结构
这是唯一能让 root 也删不掉目录的手段。加了 i(immutable)属性后,目录本身无法被删除、重命名、移动,里面所有文件也不能新增、修改或删除——内核直接拒绝,不看权限也不认 sudo。
- 递归锁定整个目录树:sudo chattr -R +i /etc/shadow /boot/grub /opt/secure-config
- 验证是否生效:lsattr /path/to/dir,输出中必须含 i 字符(如 ----i-----------)
- 维护时临时解锁:sudo chattr -R -i /path/to/dir,操作完立刻重新加锁
- 注意:别对 /var/log、/run 或由 systemd 自动写入的目录加 i,否则服务会崩溃
用 chattr +a 保护日志类目录
适合持续写入但绝不能删改的场景,比如应用日志目录。+a(append-only)允许用 >> 追加内容,但禁止删除、重命名、截断或覆盖任何文件,目录本身也无法被删。
- 启用方式:sudo chattr -R +a /var/log/myapp
- 可正常写入:
echo "INFO" >> /var/log/myapp/current.log - 以下全部失败:
rm current.log、mv current.log old.log、truncate -s 0 current.log - 比 +i 更灵活,适合运行中的服务目录
收窄所有权与基础权限
虽然不能防 root,但能大幅降低脚本、部署工具或普通用户误操作的风险。
- 把敏感业务目录属主设为专用管理用户,而非 root:
sudo chown deploy:deploy /var/www/app - 权限设为 750 或 700:
sudo chmod 750 /var/www/app,彻底屏蔽非授权组和其他用户 - 避免 chmod 777 或递归 chmod,这类操作等于主动拆除防线
- 关键配置目录统一属主 root:root,明确责任边界,防止权限继承扩散
加固操作习惯与审计机制
技术防护之外,行为约束同样关键。让高危动作留痕、有确认、可追溯。
- 给 rm、chown、chmod 加安全别名:
alias rm='rm -I'(大写 i,删前三次确认) - 强制 sudo 每次提权都输密码:
Defaults timestamp_timeout=0加到 /etc/sudoers - 监控关键路径变更:
sudo auditctl -w /etc/ -p wa -k etc_changes - 重要目录清理脚本里加存在性判断:
[ -d "$log_dir" ] && rm -rf "$log_dir"/*
相关文章
- 高德地图路线规划显示异常怎么办 07-09
- 漫蛙漫画官方版正版ios如何安装 07-09
- 胖东来官网地址-胖东来官方网站入口地址 07-09
- investopedia官网中文版入口-investopedia国内能用的官方网页版入口地址 07-09
- 一点文学txt小说网站入口-一点文学小说官网入口地址2026最新 07-09
- 易校园怎么绑定微信 07-09