|
在Linux系统中,如果一个用户是以root权限登录了系统,那么它的使用权限不会再有任何限制了。因此,黑客在获得root权限登录系统后将是一场非常严重的事故,在这种情况下,文件系统将是最后一道防线,合理设置文件的属性可以最大限度的降低被入侵所造成的系统破坏程度。这里介绍最直接也是最有效的一种方法——利用chatter命令来锁定系统的重要文件。 Chatter命令的语法格式如下: chatter [-RV] [-v version] [mode] files… 上述参数的含义如下: l -R:递归的修改一个目录下的所有文件以及相应的子目录。 l -V:显示修改内容,并在屏幕上打印输出。 l Mode:部分是用来设置或修改文件属性的,一般常用的参数是: 1.+:在原属性上追加属性 2.-:在原属性上移除属性 3.a: 在设定该参数后只能向文件中添加数据而不能删除文件,常用于服务器的系统日志安全(只有root用户才能设定该属性) 4.i:在设定该参数后该文件不能被写入数据或者被修改,删除,重命名,设定连接等, 该参数对于系统文件的安全设置很有帮助。在基本了解该命令的用法后,可以对系统中的常见文件设定安全属性了,参考  另外,用户也可以对常见目录,例如/bin /boot /lib等目录加上i属性,对系统常用的日志文件例如/var/log/messages 和/var/log/wtmp也可以加上a属性。 虽然通过对重要文件进行加锁的方式能让服务器的安全性提高,但是在运维管理上也会出现一些不方便,例如修改密码时因为/etc/shadow文件有i属性,会导致密码修改失败,同时对日志文件加入a属性,可能会使得日志轮换功能logrotate的失败,另外,在软件的安装和升级时可能需要去掉有关目录和文件的i属性和a属性。所以,建议用户使用chattr命令锁定系统文件时,必须要结合服务器的应用环境来决定是否应用a属性和i属性。 (责任编辑:IT) |