在Linux系統(tǒng)中，如果一個(gè)進(jìn)程以root權(quán)限運(yùn)行或者一個(gè)用戶(hù)以root用戶(hù)身份登錄，那么它的權(quán)限就不再有任何限制，因此如果一旦root權(quán)限被黑客掌握，對(duì)于系統(tǒng)來(lái)說(shuō)將會(huì)是一場(chǎng)災(zāi)難，在這種情況下，文件系統(tǒng)保護(hù)將會(huì)成為系統(tǒng)的最后一道防線，合理的設(shè)置文件系統(tǒng)保護(hù)可以最大限度的降低攻擊對(duì)系統(tǒng)造成的破壞。

chattr [-RV] [-v version] [mode] /路徑/文件
主要參數(shù)如下：

-R：遞歸修改所有文件及子目錄
-V：詳細(xì)顯示修改內(nèi)容，并打印輸出
mode：
+：追加參數(shù)
-：移除參數(shù)
=：更新為指定參數(shù)
a：append，設(shè)定后只能添加數(shù)據(jù)，而不能刪除數(shù)據(jù)，只有root用戶(hù)可以設(shè)置這個(gè)屬性。
c：compress，設(shè)定文件是否壓縮后再儲(chǔ)存。讀取時(shí)需要自動(dòng)解壓。
i：immutable，設(shè)定文件不能被寫(xiě)入、修改、刪除、重命名、設(shè)定軟硬鏈接。
s：安全刪除，文件被刪除后全部收回硬盤(pán)空間。
u：保留刪除，系統(tǒng)會(huì)保留其數(shù)據(jù)塊，以便恢復(fù)數(shù)據(jù)。
lsattr命令的語(yǔ)法如下：
lsattr [-adiRvV] /路徑/文件
主要參數(shù)如下：

-a：列出所有文件，包括"."開(kāi)頭的文件
-d：顯示指定目錄的屬性
-R：以遞歸方式列出目錄下所有文件及子目錄的屬性
-v：顯示文件或目錄版本。
以下是建議進(jìn)行保護(hù)的文件：

$ chattr -R +i /bin /boot /lib/sbin
$ chattr -R +i /usr/bin /usr/include /usr/lib /usr/sbin
$ chattr +i /etc/passwd
$ chattr +i /etc/shadow
$ chattr +i /etc/hosts
$ chattr +i /etc/resolv.conf
$ chattr +i /etc/fstab
$ chattr +i /etc/sudoers
$ chattr +s /var/log/messages
$ chattr +s /var/log/stmp
為文件系統(tǒng)進(jìn)行保護(hù)雖然可以提高系統(tǒng)安全性，但是也會(huì)在一些情況下造成不便，例如在一些軟件的安裝與升級(jí)時(shí)，可能需要去掉相關(guān)目錄的immutable屬性和append-only屬性，對(duì)日志文件設(shè)置了append-only屬性也可能會(huì)導(dǎo)致日志輪換(logrotate)無(wú)法進(jìn)行。
所以在使用chattr前，需要結(jié)合服務(wù)器的應(yīng)用環(huán)境來(lái)權(quán)衡如何設(shè)置保護(hù)。

而且chattr命令不能保護(hù)/、/dev、/tmp、/var等目錄：

根目錄如果設(shè)置的不可修改屬性，那么系統(tǒng)會(huì)無(wú)法工作
/dev在工作時(shí)，syslog需要?jiǎng)h除并重新建立/dev/log下的套接字設(shè)備
/tmp會(huì)有很多程序和系統(tǒng)程序在這個(gè)目錄下建立臨時(shí)文件
/var是系統(tǒng)和程序的日志目錄，如果將其設(shè)置為不可修改，系統(tǒng)將無(wú)法記錄日志
文件權(quán)限檢查
不正確的設(shè)置文件權(quán)限會(huì)造成安全隱患，及時(shí)發(fā)現(xiàn)這些隱患可以防范于未然。
以下是一些查找不安全權(quán)限的方法：

查找系統(tǒng)中任何用戶(hù)都有寫(xiě)權(quán)限的文件和目錄：
#對(duì)文件：
$ find / -type f -perm -2 -o -perm -20 |xargs ls -al
#對(duì)目錄：
$ find / -type d -perm -2 -o -perm -20 |xargs ls -ld
查找系統(tǒng)中含有“s”位的程序:
$ find / -type f -perm -4000 -o -perm -2000 -print |xargs ls -al
查找系統(tǒng)中所有suid及sgid文件
#suid
$ find / -user root -perm -2000 -print -exec md5sum () \;
#sgid
$ find / -user root -perm -4000 -print -exec md5sum () \;
檢查系統(tǒng)中沒(méi)有屬主的文件
$ find / -nouser -o -nogroup
/TMP、/VAR/TMP、/DEV/SHM安全保護(hù)
在Linux系統(tǒng)中，/tmp和/var/tmp目錄用于存放臨時(shí)文件，但臨時(shí)文件對(duì)所有用戶(hù)來(lái)說(shuō)都可讀可寫(xiě)可執(zhí)行，這就為系統(tǒng)安全留下了安全隱患，這些目錄可能被攻擊者留下惡意腳本進(jìn)行信息收集或偽裝。但如果修改臨時(shí)文件的讀寫(xiě)權(quán)限，就有可能影響系統(tǒng)和程序的正常運(yùn)行。因此，這些目錄需要通過(guò)特殊設(shè)置來(lái)保護(hù)。
而/dev/shm是一個(gè)內(nèi)存共享設(shè)備，在Linux啟動(dòng)時(shí)會(huì)默認(rèn)加載/dev/shm，/dev/shm在加載時(shí)，使用的是tmpfs文件系統(tǒng)，而tmpfs文件系統(tǒng)是一個(gè)內(nèi)存文件系統(tǒng)，會(huì)將該文件系統(tǒng)中的文件全部主流進(jìn)內(nèi)存中。這樣通過(guò)/dev/shm就可以直接操控系統(tǒng)內(nèi)存。

保護(hù)/tmp的方法:

如果/tmp是獨(dú)立磁盤(pán)分區(qū)的話(huà)，將/etc/fstab中的/tmp掛載屬性修改為如下：
LABEL=/tmp? ? /tmp? ?? ???ext3? ? rw,nosuid,noexec,nodey 0 0
其中，
* nosuid：不允許任何suid程序
* noexec：不允許執(zhí)行腳本程序
* nodev：不存在設(shè)備文件

如果是/var分區(qū)下的一個(gè)目錄，那么可以先將/var/tmp中的數(shù)據(jù)移動(dòng)到/tmp分區(qū)下，然后在/var做一個(gè)指向/tmp的軟連接即可：
$ mv /vat/tmp/* /tmp
$ ln -s /tmp /var/tmp
如果/tmp是根目錄下的一個(gè)目錄，可以通過(guò)創(chuàng)建一個(gè)loopback文件系統(tǒng)利用Linux內(nèi)核中的loopback特性將文件系統(tǒng)掛載到/tmp下，然后在掛載時(shí)設(shè)定掛載選項(xiàng)：
$ dd if=/dev/zero of=/dev/tmpfs bs=1M count=10000
$ mke2fs -j /dev/tmpfs
$ cp -av /tmp /tmp.old
$ mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp
$ chmod 1777 /tmp
$ mv -f /tmp.old/* /tmp/
$ rm -rf /tmp.old
然后編輯/etc/fstab，添加如下內(nèi)容：

/dev/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0
完成后，建議驗(yàn)證一下配置是否生效，在tmp文件夾下建立一個(gè)shell文件嘗試執(zhí)行。

保護(hù)/dev/shm的方法：

/dev/shm是一個(gè)設(shè)備文件，所以也可以通過(guò)修改/etc/fstab實(shí)現(xiàn)，將/etc/fstab中掛載屬性修改為如下所示：
tmpfs /dev/shm tmpfs defaults,nosuid,noexec,rw 0 0