也许有人会说可以通过chattr +i进行保护,确实可以,但是需要注意:
1、chattr +i 目录,该目录及目录下的一级文件不能被删,但是第二级开始全都可以被删除
例如:chattr +i /etc 那么/etc/ssh/sshd_config仍然可以被删掉。
2、可通过chattr -R +i /etc (缺少了灵活性)
通过脚本进行保护:
1、备份rm可执行程序:mv /usr/bin/rm{,.bak}
2、创建/usr/bin/rm文件,拷贝下面的shell到该问题件;
3、赋予可执行权限:chmod a+x /usr/bin/rm
#!/bin/bash
define_safe_files="/etc/security/rm_file_ignore"
args=$(echo "$*" | tr -s '/' | tr -d "\042\047")
safe_files=$(find / -maxdepth 1 |tr '\n' '|')$([ -f $define_safe_files ] && cat $define_safe_files | tr -s '/' | tr -d "\042\047"|tr '\n' '|')
echo "$args"|grep -wqP "(?:^${safe_files%|})(?:/?(?=\s|$))"
## 低版本grep -w和-P混用有问题,所以低版本用下面的命令
# echo "$args"|grep -qP "(?:^${safe_files%|})(?:/?(?=\s|$))"
if [ $? -eq 0 ];then
echo -e "'\e[1;5;33mrm $args\e[0m' is not allowed,Exit..."
exit 1
fi
/bin/rm.bak "$@"
该脚本为了避免“根及第一级目录被删除”。脚本定义了安全文件配置文件: /etc/security/rm_file_ignore,按行进行配置。当然,可以不进行设置,因为上面的脚本在读取该文件时,进行了文件是否存在校验。
该脚本参考自https://github.com/malongshuai/rm_is_safe/blob/master/rm_is_safe.sh