守护你的数据堡垒（Linux文件系统安全入门指南）

1. 理解基本文件权限

在 Linux 中，每个文件和目录都有三类权限：

• r (read)：读取文件内容或列出目录内容
• w (write)：修改文件内容或在目录中创建/删除文件
• x (execute)：执行文件（如脚本）或进入目录

这些权限分别作用于三类用户：

• 所有者（user）
• 所属组（group）
• 其他人（others）

查看文件权限

使用 ls -l 命令可以查看详细权限信息：

$ ls -l example.txt-rw-r--r-- 1 alice developers 1024 Jun 10 10:00 example.txt

解释：-rw-r--r-- 表示：

• 所有者（alice）：可读可写（rw-）
• 组（developers）：只读（r--）
• 其他人：只读（r--）

2. 使用 chmod 修改权限

Linux chmod命令 是管理文件权限的核心工具。它支持两种表示法：符号模式和数字模式。

符号模式示例

# 给所有者添加执行权限chmod u+x script.sh# 移除组和其他人的写权限chmod go-w data.txt

数字模式（八进制）

每种权限对应一个数字：

• r = 4
• w = 2
• x = 1

例如，755 表示：

• 所有者：4+2+1 = 7（rwx）
• 组：4+1 = 5（r-x）
• 其他人：4+1 = 5（r-x）

chmod 755 myapp.sh

3. 高级安全机制：SELinux

除了基础权限，企业级 Linux 系统（如 CentOS、RHEL）通常启用 SELinux安全策略（Security-Enhanced Linux）。SELinux 提供了强制访问控制（MAC），即使 root 用户也无法绕过其策略。

检查 SELinux 状态：

$ sestatusSELinux status:                 enabledSELinuxfs mount:                /sys/fs/selinuxCurrent mode:                   enforcing

在 enforcing 模式下，SELinux 会阻止违反策略的操作，并记录到日志中（通常位于 /var/log/audit/audit.log）。

4. 最佳实践建议

• 定期审查敏感文件的权限（如 /etc/shadow 应为 600）
• 避免使用 chmod 777，这会带来严重安全隐患
• 对重要目录设置粘滞位（sticky bit），如 /tmp：chmod +t /tmp
• 启用并配置 SELinux 或 AppArmor（Ubuntu 使用）以增强系统防护

结语

掌握 Linux文件系统安全 不仅能保护你的数据免受意外破坏，还能有效抵御恶意攻击。通过合理设置 文件权限管理、熟练使用 Linux chmod命令，并在必要时启用 SELinux安全策略，你就能构建一个更加安全可靠的 Linux 环境。

现在就打开终端，检查一下你系统中关键文件的权限吧！