Debian文件管理如何保护文件夹

Debian 文件夹保护的实用方案

一 基础权限与所有权

• 使用 chmod 设置目录权限：仅所有者可读写执行用 700；对同组可读执行、其他只读用 755；敏感文件常用 600。示例：chmod 700 /path/to/dir、chmod 600 /path/to/file。
• 使用 chown/chgrp 调整所有者与所属组：chown user:group /path、chgrp group /path。
• 设置默认权限 umask：会话级 umask 0077；永久生效写入 ~/.bashrc、~/.profile 或 /etc/profile。
• 需要时启用 ACL 做细粒度授权：sudo apt-get install acl；示例：setfacl -m u:alice:rwx /path、setfacl -m g:devs:r-x /path，目录上可加 -d 设置默认 ACL。

二 不可变属性与防误删

• 给关键目录加 不可变属性 i：sudo chattr +i /path/to/dir（含子项需 -R）；查看属性 lsattr /path。设置后，即使是 root 也无法删除、改名或改写，只有移除该属性后才能操作：sudo chattr -i /path/to/dir。
• 对仅需追加的场景（如日志）可用 a 属性：chattr +a file，仅允许追加，禁止删除与改写。
• 降低误删风险的做法：为常用删除操作设置交互或“回收站”别名，例如 alias rm='rm -i'；或自建回收站脚本将删除改为移动到 ~/.trash 并按时间戳重命名，便于误删恢复。

三 加密保护机密数据

• 文件/文件夹级加密：使用 GnuPG 对称加密，gpg --symmetric --cipher-algo AES256 secret/，解密 gpg secret.gpg。适合小批量敏感文件。
• 目录级透明加密：使用 EncFS/Cryptkeeper（Debian 可 sudo apt-get install cryptkeeper），创建加密目录，挂载后像普通目录一样使用，卸载即自动加密。
• 磁盘/分区级加密：使用 LUKS 全盘或分区加密，sudo cryptsetup luksFormat /dev/sdX → sudo cryptsetup open /dev/sdX secret → 格式化并挂载，适合笔记本或服务器数据盘。

四 强制访问控制与审计

• 启用 AppArmor：sudo apt-get install apparmor apparmor-utils，为关键服务（如 web、db）加载或编写策略，限制对敏感目录的访问路径与权限。
• 启用 SELinux（可选）：sudo apt-get install selinux-basics selinux-policy-default，加载默认策略并调整文件上下文，实现基于类型的强制访问控制。
• 启用 auditd 审计关键目录：sudo apt-get install auditd audispd-plugins，添加规则如 sudo auditctl -w /path/to/dir -p wa -k dir_access 记录写入与属性更改，便于事后追溯。

五 备份与恢复策略

• 定期备份关键目录：使用 rsync 增量同步 rsync -avz /data /backup/，或用 tar 归档 tar czf backup-$(date +%F).tar.gz /data。
• 结合前述“回收站”与版本控制（如 Git）形成多层防线；若发生误删，先停止写入，再评估使用 extundelete/TestDisk/PhotoRec 等工具进行恢复，成功率取决于是否已被覆盖。