Linux操作系统安全配置 课件 02-001-chattr锁定系统文件.pptx

单击此处编辑母版标题样式chattr锁定系统文件

学习内容企业需求0102锁定系统关键文件03解除锁定的文件04总结

企业需求1某公司需要给服务器的操作系统文件进行部分锁定，主要为了使得Linux系统更加安全，减少被黑客入侵的可能性，具体要求如下：（1）锁定系统中的关键文件（2）解除锁定的文件

企业需求1需求分析：此处需要锁定系统的关键文件，Linux中可以实现该功能的命令是：chattr

锁定系统关键文件21.chattr命令介绍chattr命令可以对系统中的关键文件进行锁定。一旦锁定之后，即使是root用户也无法对这些文件进行操作。chattr的用法：chattr[-RVf][-+=aAcCdDeijsStTu][-vversion]files...最关键的是[-+=aAcCdDeijsStTu]这部分，它是用来控制文件的属性。chmod只是改变文件的读写、执行权限，更底层的属性控制是由chattr来改变的。

锁定系统关键文件22.配置“i”属性使文件不可更改[root@server~]#chattr+i/etc/passwd/etc/shadow/etc/group/etc/gshadow说明：+：在原有参数设定基础上，追加参数i：设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容一旦锁定之后，即使是root用户也无法对这些文件进行操作

锁定系统关键文件22.配置“i”属性使文件不可更改查看属性变化[root@server~]#lsattr/etc/passwd----i-----------/etc/passwd，从结果可以看到属性中多了i此时如果对/etc/passwd进行修改会有错误提示：Operationnotpermitted或者Permissiondenied

锁定系统关键文件23.配置“a”属性使文件只允许追加[root@server~]#chattr+a/etc/resolv.conf说明：+：在原有参数设定基础上，追加参数a：即append，设定该参数后，只能向文件中添加数据，而不能删除，多用于服务器日志文件安全，只有root才能设定这个属性[root@server~]#echonameserver8.8.8.8/etc/resolv.conf

锁定系统关键文件24.配置“-R”和“+i”属性使文件夹和其子文件夹成为安全目录查看属性变化[root@server~]#mkdirsysadmin[root@server~]#mkdirsysadmin/admim_{1,2,3,4,5}[root@server~]#ls-lsysadmin/[root@server~]#chattr-R+isysadmin

锁定系统关键文件24.配置“-R”和“+i”属性使文件夹和其子文件夹成为安全目录查看属性变化[root@server~]#lsattr-Rsysadmin----i-----------sysadmin/admim_1sysadmin/admim_1:----i-----------sysadmin/admim_2sysadmin/admim_2:----i-----------sysadmin/admim_3sysadmin/admim_3:----i-----------sysadmin/admim_4sysadmin/admim_4:

解除锁定的文件系统31.配置“i”解除文件不可更改属性[root@server~]#chattr-i/etc/passwd/etc/shadow/etc/group/etc/gshadow说明：-：在原有参数设定基础上，移除参数i：设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容一旦锁定之后，即使是root用户也无法对这些文件进行操作

解除锁定的文件系统32.配置“a”解除文件只允许追加属性[root@server~]#chattr-a/etc/resolv.conf说明：-：在原有参数设定基础上，移除参数a：即append，设定该参数后，只能向文件中添加数据，而不能删除，多用于服务器日志文件安全，只有root才能设定这个属性

总结4如果需要对/var/log中的日志文件进行保护该如何实现？

总结4chattr命令介绍锁定系统文件解锁系统文件