我的学习空间

2/4/2026

重要文件加锁

Linux重要文件加锁策略（生产环境标准）

分类	文件/目录路径	推荐锁类型	加锁命令	解锁命令	作用说明	风险等级
👤 用户认证	`/etc/passwd`	`+i`	`chattr +i /etc/passwd`	`chattr -i /etc/passwd`	防新增/删除用户	高危
	`/etc/shadow`	`+i`	`chattr +i /etc/shadow`	`chattr -i /etc/shadow`	防密码篡改	高危
	`/etc/group`	`+i`	`chattr +i /etc/group`	`chattr -i /etc/group`	防用户组篡改	高危
	`/etc/gshadow`	`+i`	`chattr +i /etc/gshadow`	`chattr -i /etc/gshadow`	防组密码篡改	高危
	`/etc/sudoers`	`+i`	`chattr +i /etc/sudoers`	`chattr -i /etc/sudoers`	防提权后门	高危
	`/etc/sudoers.d/`	`+i`(递归)	`chattr +i -R /etc/sudoers.d/`	`chattr -i -R /etc/sudoers.d/`	防sudo片段篡改	高危
	`~/.ssh/authorized_keys`	`+i`	`chattr +i ~/.ssh/authorized_keys`	`chattr -i ~/.ssh/authorized_keys`	防密钥后门	高危
	`~/.ssh/id_rsa`	`+i`	`chattr +i ~/.ssh/id_rsa`	`chattr -i ~/.ssh/id_rsa`	防私钥泄露	高危
	`~/.ssh/id_rsa.pub`	`+i`	`chattr +i ~/.ssh/id_rsa.pub`	`chattr -i ~/.ssh/id_rsa.pub`	防公钥篡改	高危
🔐 SSH服务	`/etc/ssh/sshd_config`	`+i`	`chattr +i /etc/ssh/sshd_config`	`chattr -i /etc/ssh/sshd_config`	防SSH后门	高危
	`/etc/ssh/ssh_config`	`+i`	`chattr +i /etc/ssh/ssh_config`	`chattr -i /etc/ssh/ssh_config`	防客户端劫持	中危
	`/etc/ssh/sshd_config.d/`	`+i`(递归)	`chattr +i -R /etc/ssh/sshd_config.d/`	`chattr -i -R /etc/ssh/sshd_config.d/`	防配置片段篡改	高危
🌐 网络基础	`/etc/hosts`	`+i`	`chattr +i /etc/hosts`	`chattr -i /etc/hosts`	防域名劫持	高危
	`/etc/resolv.conf`	`+i`	`chattr +i /etc/resolv.conf`	`chattr -i /etc/resolv.conf`	防DNS劫持	高危
	`/etc/hostname`	`+i`	`chattr +i /etc/hostname`	`chattr -i /etc/hostname`	防主机名篡改	低危
📦 Web服务	`/etc/nginx/nginx.conf`	`+i`	`chattr +i /etc/nginx/nginx.conf`	`chattr -i /etc/nginx/nginx.conf`	防Web配置篡改	高危
	`/etc/nginx/conf.d/`	`+i`(递归)	`chattr +i -R /etc/nginx/conf.d/`	`chattr -i -R /etc/nginx/conf.d/`	防站点配置篡改	高危
	`/etc/httpd/conf/httpd.conf`	`+i`	`chattr +i /etc/httpd/conf/httpd.conf`	`chattr -i /etc/httpd/conf/httpd.conf`	防Apache篡改	高危
	`/etc/httpd/conf.d/`	`+i`(递归)	`chattr +i -R /etc/httpd/conf.d/`	`chattr -i -R /etc/httpd/conf.d/`	防站点配置篡改	高危
	`/var/www/html/`	`+i`(递归)	`chattr +i -R /var/www/html/`	`chattr -i -R /var/www/html/`	防Web篡改/挂马	高危
🗄️ 数据库	`/etc/my.cnf`	`+i`	`chattr +i /etc/my.cnf`	`chattr -i /etc/my.cnf`	防MySQL配置篡改	高危
	`/etc/mysql/my.cnf`	`+i`	`chattr +i /etc/mysql/my.cnf`	`chattr -i /etc/mysql/my.cnf`	防MySQL配置篡改	高危
	`/etc/mysql/mariadb.conf.d/`	`+i`(递归)	`chattr +i -R /etc/mysql/mariadb.conf.d/`	`chattr -i -R /etc/mysql/mariadb.conf.d/`	防配置篡改	高危
	`/etc/redis/redis.conf`	`+i`	`chattr +i /etc/redis/redis.conf`	`chattr -i /etc/redis/redis.conf`	防Redis配置篡改	高危
	`/etc/mongod.conf`	`+i`	`chattr +i /etc/mongod.conf`	`chattr -i /etc/mongod.conf`	防MongoDB篡改	高危
📝 日志审计	`/var/log/secure`	`+a`	`chattr +a /var/log/secure`	`chattr -a /var/log/secure`	防日志删除	中危
	`/var/log/messages`	`+a`	`chattr +a /var/log/messages`	`chattr -a /var/log/messages`	防日志删除	中危
	`/var/log/audit/audit.log`	`+a`	`chattr +a /var/log/audit/audit.log`	`chattr -a /var/log/audit/audit.log`	防审计日志销毁	高危
	`/var/log/wtmp`	`+a`	`chattr +a /var/log/wtmp`	`chattr -a /var/log/wtmp`	防登录记录销毁	中危
	`/var/log/btmp`	`+a`	`chattr +a /var/log/btmp`	`chattr -a /var/log/btmp`	防失败登录销毁	中危
⚙️ 系统服务	`/etc/systemd/system/`	`+i`(递归)	`chattr +i -R /etc/systemd/system/`	`chattr -i -R /etc/systemd/system/`	防服务后门	高危
	`/lib/systemd/system/`	`+i`(谨慎)	`chattr +i -R /lib/systemd/system/`	`chattr -i -R /lib/systemd/system/`	防系统服务篡改	高危
	`/etc/init.d/`	`+i`(谨慎)	`chattr +i -R /etc/init.d/`	`chattr -i -R /etc/init.d/`	防SysV服务篡改	高危
🛡️ 安全基线	`/etc/security/limits.conf`	`+i`	`chattr +i /etc/security/limits.conf`	`chattr -i /etc/security/limits.conf`	防资源限制篡改	中危
	`/etc/sysctl.conf`	`+i`	`chattr +i /etc/sysctl.conf`	`chattr -i /etc/sysctl.conf`	防内核参数篡改	高危
	`/etc/profile`	`+i`	`chattr +i /etc/profile`	`chattr -i /etc/profile`	防全局环境篡改	中危
	`/etc/bashrc`	`+i`	`chattr +i /etc/bashrc`	`chattr -i /etc/bashrc`	防bash环境篡改	中危
	`/etc/bash.bashrc`	`+i`	`chattr +i /etc/bash.bashrc`	`chattr -i /etc/bash.bashrc`	防bash环境篡改	中危
⏰ 定时任务	`/var/spool/cron/`	`+i`(递归)	`chattr +i -R /var/spool/cron/`	`chattr -i -R /var/spool/cron/`	防定时任务后门	高危
	`/etc/crontab`	`+i`	`chattr +i /etc/crontab`	`chattr -i /etc/crontab`	防系统定时任务篡改	高危
	`/etc/cron.d/`	`+i`(递归)	`chattr +i -R /etc/cron.d/`	`chattr -i -R /etc/cron.d/`	防定时任务片段篡改	高危
	`/etc/cron.daily/`	`+i`(递归)	`chattr +i -R /etc/cron.daily/`	`chattr -i -R /etc/cron.daily/`	防每日任务后门	高危
	`/etc/cron.weekly/`	`+i`(递归)	`chattr +i -R /etc/cron.weekly/`	`chattr -i -R /etc/cron.weekly/`	防每周任务后门	高危
	`/etc/cron.monthly/`	`+i`(递归)	`chattr +i -R /etc/cron.monthly/`	`chattr -i -R /etc/cron.monthly/`	防每月任务后门	高危
🐳 容器	`/etc/docker/daemon.json`	`+i`	`chattr +i /etc/docker/daemon.json`	`chattr -i /etc/docker/daemon.json`	防Docker配置篡改	高危
	`/etc/containerd/config.toml`	`+i`	`chattr +i /etc/containerd/config.toml`	`chattr -i /etc/containerd/config.toml`	防containerd篡改	高危
⏲️ 时间同步	`/etc/chrony.conf`	`+i`	`chattr +i /etc/chrony.conf`	`chattr -i /etc/chrony.conf`	防NTP配置篡改	中危
	`/etc/chrony/`	`+i`(递归)	`chattr +i -R /etc/chrony/`	`chattr -i -R /etc/chrony/`	防NTP配置篡改	中危
	`/etc/ntp.conf`	`+i`	`chattr +i /etc/ntp.conf`	`chattr -i /etc/ntp.conf`	防NTP配置篡改	中危

❌ 严禁加锁清单（高危操作）

文件/目录	原因	后果	替代方案
`/etc/`	递归锁根目录	系统无法启动，服务全挂	锁具体配置文件
`/tmp/`	大量程序写临时文件	程序崩溃，容器无法运行	锁/tmp下具体脚本
`/var/`	日志、缓存、锁文件	日志写不了，服务起不来	锁/var/log下的具体日志
`/var/log/`	日志轮转失败	日志无法写入，磁盘报警	用`+a`锁具体日志文件
`/run/`	PID文件、Socket	服务无法创建PID文件	不锁
`/dev/`	设备文件	设备无法访问	不锁
`/proc/`	虚拟文件系统	系统状态无法读取	不锁
`/sys/`	内核参数接口	内核参数无法调整	不锁
`/home/`	用户家目录	用户无法写文件	锁用户级配置文件
`/root/`	Root家目录	Root无法写配置	锁/root/.ssh/

用户认证锁死、SSH配置锁死、Web目录锁死、Cron任务锁死、日志防删

2.1 线上服务器基础优化, 第2章 linux基础优化和安全策略

发表回复取消回复