Linux系统加固实战：巧用chattr +i锁定关键配置文件

1. 为什么需要锁定Linux关键配置文件

作为系统管理员，我经常遇到这样的场景：某天突然发现服务器上的用户账户莫名其妙多了几个，或者重要系统文件被人篡改过。这种时候往往意味着系统已经遭到入侵，而攻击者通常就是从修改/etc/passwd、/etc/shadow这些关键文件开始的。

Linux系统的核心配置文件就像是大楼的承重墙，一旦被破坏整个系统就会面临崩溃风险。比如：

• /etc/passwd存储着所有用户账户信息
• /etc/shadow保存着加密后的用户密码
• /etc/group记录着用户组信息
• /etc/sudoers决定着哪些用户可以获取root权限

在实际运维中，我发现很多管理员只注重防火墙、杀毒软件这些外围防护，却忽视了最基础的文件保护。这就好比给大门装了十道锁，却忘了关窗户。攻击者一旦获取root权限，就能随意修改这些文件，比如：

1. 在passwd文件添加隐藏管理员账户
2. 清空shadow文件使所有账户无需密码登录
3. 修改sudoers文件获取持久化权限

去年我们公司就发生过一起真实案例：某台测试服务器因为使用了弱密码被入侵，攻击者修改了passwd文件添加后门账户，三个月后这个账户被用来发起内网渗透。如果当时用chattr锁定了这些文件，至少能增加攻击者的操作难度，为我们争取发现和响应的时间。

2. chattr命令的核心用法解析

chattr这个命令名字很有意思，它是"change attribute"的缩写，但很多新手会误以为是"chat attribute"。我第一次使用时也闹过这个笑话。实际上它是用来修改文件在ext2/ext3/ext4文件系统上的特殊属性的，这些属性比常规的rwx权限更底层。

最常用的就是+i参数，它能让文件变成"不可变"(immutable)状态。我把它理解为给文件上了把物理锁——即使你有root权限也无法修改或删除。具体效果包括：

• 禁止修改文件内容（包括重定向写入）
• 禁止删除或重命名文件
• 禁止创建硬链接
• 禁止修改文件时间戳

设置方法非常简单：

bash复制chattr +i /etc/passwd
chattr +i /etc/shadow

但要注意几个关键细节：

1. 只有root用户才能设置i属性
2. 这个属性对符号链接无效（需要保护链接指向的实际文件）
3. 在NFS等网络文件系统上可能不生效
4. 某些特殊情况下内核可能会忽略这个属性（比如紧急修复模式）

我建议把常用操作封装成脚本，比如创建一个secure_files.sh：

bash复制#!/bin/bash
FILES="/etc/passwd /etc/shadow /etc/group /etc/sudoers"
for file in $FILES; do
    [ -f "$file" ] && chattr +i "$file"
done

3. 实战：保护系统关键文件的完整流程

让我们模拟一次完整的安全加固过程。假设我们刚部署了一台新的CentOS服务器，现在要锁定关键配置文件。

3.1 检查当前文件状态

首先用lsattr查看文件现有属性：

bash复制lsattr /etc/passwd /etc/shadow /etc/group /etc/sudoers

正常输出应该类似：

code复制-------------e-- /etc/passwd
-------------e-- /etc/shadow
-------------e-- /etc/group
-------------e-- /etc/sudoers

这里的'e'表示文件使用extents方式存储，是正常现象。

3.2 设置不可变属性

执行保护命令：

bash复制for file in /etc/passwd /etc/shadow /etc/group /etc/sudoers; do
    chattr +i $file
done

3.3 验证保护效果

尝试修改受保护的文件：

bash复制echo "test" >> /etc/passwd

你会看到报错：

code复制bash: /etc/passwd: Operation not permitted

再尝试删除：

bash复制rm -f /etc/passwd

报错：

code复制rm: cannot remove '/etc/passwd': Operation not permitted

3.4 临时解除保护（当需要合法修改时）

比如要添加新用户：

bash复制chattr -i /etc/passwd /etc/shadow
useradd testuser
passwd testuser
chattr +i /etc/passwd /etc/shadow

4. 高级技巧与注意事项

4.1 递归保护目录

如果需要保护整个目录，可以加-R参数：

bash复制chattr -R +i /etc/ssh/

但要注意这会影响该目录下所有文件的正常使用，比如导致sshd无法更新known_hosts文件。更好的做法是只保护关键配置文件：

bash复制chattr +i /etc/ssh/sshd_config

4.2 结合a属性保护日志文件

对于需要持续写入的日志文件，可以用+a属性：

bash复制chattr +a /var/log/secure

这样日志仍可追加，但无法删除或清空文件。

4.3 常见问题排查

如果发现chattr命令不生效，检查：

1. 文件系统类型（只支持ext2/3/4,xfs,btrfs等）
2. 是否使用了mount -o remount,ro重新挂载为只读
3. 是否在内核编译时禁用了相关特性

4.4 安全审计集成

可以将文件属性检查纳入日常安全审计：

bash复制#!/bin/bash
CHECK_FILES="/etc/passwd /etc/shadow /etc/sudoers"
for file in $CHECK_FILES; do
    if ! lsattr $file | grep -q "i"; then
        echo "WARNING: $file is not immutable!"
    fi
done

5. 与其他安全措施的对比

很多人会问：既然有chattr，为什么还需要文件权限、SELinux等其他机制？其实它们各有所长：

在实际项目中，我通常会采用分层防御策略：

1. 合理设置文件权限（比如shadow文件600权限）
2. 用chattr锁定关键文件
3. 启用SELinux enforcing模式
4. 部署aide等完整性检查工具

这种组合方案能有效提高攻击者的入侵成本。记得有次我们的监控系统发现有人尝试修改/etc/passwd，但由于chattr的保护，攻击者虽然拿到了root权限却无法完成操作，最终触发了警报被我们发现。

6. 真实环境中的经验分享

在金融行业的生产环境中，我们有套严格的操作规范：

1. 所有新部署的服务器必须在24小时内锁定关键文件
2. 任何需要临时解除保护的操作必须经过审批并记录
3. 每周审计检查文件属性和完整性

有几点特别实用的经验想分享：

• 在自动化部署工具（如Ansible）中加入chattr步骤
• 对于需要频繁更新的文件（如DNS解析的/etc/hosts），不建议使用+i
• 保护/boot目录下的内核文件可以防止rootkit注入
• 数据库的配置文件（如my.cnf）也应该考虑保护

曾经踩过一个坑：某次紧急修复时直接对受保护的文件用了vim，修改后无法保存才发现忘了先取消i属性。现在我的习惯是，在需要编辑受保护文件时，先用脚本检查并临时解除保护，操作完成后再自动恢复。