运维服务小笔记

If not now,when?If not me,who?

十月 23rd, 2013

linux文件权限之-i(不可修改权限),a(只可追加权限)

452 views, linux, Server, by 川望.

之前介绍了让普通用户有root权限的setuid权限,以及除了自己之外别人都无法删除的粘着位t权限。除了这两种之外,linux文件系统还有两种很实用的权限i和a

i:不可修改权限 例:chattr u+i filename 则filename文件就不可修改,无论任何人,如果需要修改需要先删除i权限,用chattr -i filename就可以了。查看文件是否设置了i权限用lsattr filename。
测试如下

#创建text文件,这个文件root有读写的权限
[root@test tmp]# touch test
[root@test tmp]# ll test
-rw-r--r-- 1 root root 0 Oct 29 15:03 test

#然后给test文件赋予i权限
#(注意,修改和查看i权限位需要特殊的chattr和lsattr命令)
[root@test tmp]# chattr +i test
[root@test tmp]# lsattr test
----i-------- test
#测试使用超管root来修改和删除这个文件
[root@test tmp]# echo 123>test
-bash: test: Permission denied
[root@test tmp]# \rm test
rm: remove write-protected regular empty file <code>test'? y
rm: cannot remove </code>test': Operation not permitted
[root@test tmp]# lsattr test
----i-------- test
#全部报错无法删除,这样来保障这个文件避免被别人篡改和删除。

去除i权限使用chattr -i filename
如果对/etc/shadow添加了i权限,那么就没有办法添加删除和修改linux账号了,可以作为安全加固的一个小方法

a:只追加权限, 对于日志系统很好用,这个权限让目标文件只能追加,不能删除,而且不能通过编辑器追加。可以使用chattr +a设置追加权限。



Back Top

发表评论

电子邮件地址不会被公开。 必填项已用*标注

注意: 评论者允许使用'@user空格'的方式将自己的评论通知另外评论者。例如, ABC是本文的评论者之一,则使用'@ABC '(不包括单引号)将会自动将您的评论发送给ABC。使用'@all ',将会将评论发送给之前所有其它评论者。请务必注意user必须和评论者名相匹配(大小写一致)。

无觅相关文章插件,快速提升流量