之前介绍了让普通用户有root权限的setuid权限,以及除了自己之外别人都无法删除的粘着位t权限。除了这两种之外,linux文件系统还有两种很实用的权限i和a
i:不可修改权限 例:chattr u+i filename 则filename文件就不可修改,无论任何人,如果需要修改需要先删除i权限,用chattr -i filename就可以了。查看文件是否设置了i权限用lsattr filename。
测试如下
04 | -rw-r--r-- 1 root root 0 Oct 29 15:03 test |
13 | - bash : test : Permission denied |
15 | rm : remove write-protected regular empty file <code> test '? y |
16 | rm : cannot remove </code> test ': Operation not permitted |
去除i权限使用chattr -i filename
如果对/etc/shadow添加了i权限,那么就没有办法添加删除和修改linux账号了,可以作为安全加固的一个小方法
a:只追加权限, 对于日志系统很好用,这个权限让目标文件只能追加,不能删除,而且不能通过编辑器追加。可以使用chattr +a设置追加权限。