Ubuntu 文件管理保护系统文件安全的实用方案
一 权限与所有权基线
sudo chmod 755 /usr/local/bin/app、sudo chmod 600 /etc/secret.conf、sudo chown root:root /etc/secret.conf。setfacl -m u:alice:rwx /opt/app/config;查看:getfacl /opt/app/config。/tmp 默认即有:chmod +t /shared/tmp。二 关键系统与用户配置文件的加固
/etc/passwd、/etc/group),影子文件600(如 /etc/shadow、/etc/gshadow)。示例:sudo chmod 600 /etc/shadow; sudo chown root:shadow /etc/shadow。/etc/hosts.allow、/etc/hosts.deny 设置合适权限(通常644),仅授权用户可编辑。sudo chattr +a /var/log/myapp.log(撤销:sudo chattr -a)。/etc/passwd、/etc/shadow、/boot/grub/grub.cfg)可设置不可变 i属性,在维护窗口外禁止任何修改:sudo chattr +i /boot/grub/grub.cfg(撤销:sudo chattr -i)。注意:设置 i 后,包管理器与更新将无法写入,需按维护流程临时解除。三 防误删与可恢复性
sudo chattr +i /path/file;日志类用 sudo chattr +a /var/log/...。chmod +t /shared/dir,避免用户互相删除文件。sudo btrfs subvolume snapshot / /snap-$(date +%F)sudo lvcreate -L 10G -n snap-root -s /dev/mapper/vg-rootrsync -aAX --info=progress2 / /backup/root-$(date +%F);可按需加入 --delete 做镜像。四 加固挂载选项与访问控制
/etc/fstab 中为非系统分区启用安全挂载选项:如nodev(禁止设备文件)、nosuid(禁止 SUID)、noexec(禁止执行)等;示例:/dev/sdb1 /data ext4 defaults,nodev,nosuid,noexec 0 2。/tmp 使用 tmpfs defaults,nodev,nosuid,noexec;必要时为 /var/tmp 单独挂载。五 审计监控与维护流程
sudo journalctl -xe、sudo tail -f /var/log/auth.log /var/log/syslog;可配合 Logwatch 做日报。/etc、/boot、/usr)采用“变更前快照/备份—变更—验证—保留回滚点”的流程;变更窗口内临时解除不可变 i属性,完成后立即恢复。
