假如你想對Linux中的一些重要文件做寫保護,這樣它們就不能被刪除或者被篡改成之前的版本或者其他東西,或者在其他情況下,你可能想避免某些配置文件被軟件自動修改。使用chown和chmod命令修改文件的歸屬關系或者權限位是處理這種情況的一個解決方法,但這並不完美,因為這樣無法避免有root權限的操作。這時chattr就派上用場了。
chattr是一個可以設置或取消文件的標志位的Linux命令,它和標准的文件權限(讀、寫、執行)是分離的。與此相關的另一個命令是lsattr,它可以顯示文件的哪些標志位被設置上了。最初只有EXT文件系統(EXT2/3/4)支持chattr和lsattr所管理的標志位,但現在很多其他的原生的Linux文件系統都支持了,比如XFS、Btrfs、ReiserFS等等。
在這個教程中,我會示范如果使用chattr來讓Linux中的文件不可變更。
chattr和lsattr命令是e2fsprogs包的一部分,它在所有現代Linux發行版都預裝了。
下面是chattr的基本語法。
$ chattr [-RVf] [操作符][標志位] 文件...
其中操作符可以是“+”(把選定的標志位添加到標志位列表)、“-”(從標志位列表中移除選定的標志位)、或者“=”(強制使用選定的標志位)。
下面是一些可用的標志位。
為了讓一個文件不可變更,你需要按照如下方法為這個文件添加“不可變更”標志位。例如,對/etc/passwd文件做寫保護:
$ sudo chattr +i /etc/passwd
注意設置或取消一個文件的“不可變更”標志位是需要root用戶權限的。現在檢查該文件“不可變更”標志位是否被添加上了。
$ lsattr /etc/passwd
一旦文件被設置為不可變更,任何用戶都將無法修改該文件。即使是root用戶也不可以修改、刪除、覆蓋、移動或者重命名這個文件。如果你想再次修改這個文件,需要先把“不可變更”標志位取消了。
用如下命令取消“不可變更”標志位:
$ sudo chattr -i /etc/passwd
如果你想讓一個目錄(比如/etc)連同它下邊的所有內容不可變更,使用“-R”選項:
$ sudo chattr -R +i /etc
另一個有用的的標志位是“只可追加”,它只允許文件內容被追加的方式修改。你不能覆蓋或者刪除一個設置了“只可追加”標志位的文件。這個標志位在你想避免日志文件被意外清理掉的情況很有用。
和“不可變更”標志位類似,你可以使用如下命令讓文件變成“只可追加”模式:
$ sudo chattr +a /var/log/syslog
注意當你復制一個“不可變更”或者“只可追加”的文件到其他地方後,新文件不會保留這些標志位!
在這個教程中,我展示了如何使用chattr和lsattr命令來管理額外的文件標志位,來避免文件被篡改(意外或者其他情況)的方法。注意你不能將chattr作為一個安全措施,因為“不可變更”標志位可以很容易被取消掉。解決這個問題的一個可能的方式是限制chattr命令自身的可用性,或者去掉CAPLINUXIMMUTABLE內核權能標志。關於chattr以及可用的標志位的更多細節,請參考它的man手冊。
