如何在 Linux 上使用 chattr 命令
已发表: 2022-06-28
除了通常的读、写和执行文件权限外,Linux 文件还有另一组属性来控制文件的其他特征。 以下是如何查看和更改它们。
权限和属性
在 Linux 中,谁可以访问一个文件以及他们可以用它做什么是由一组以用户为中心的权限控制的。 您是否可以读取文件的内容、将新数据写入文件或执行文件(如果它是脚本或程序),都由该组权限控制。 权限应用于文件,但它们定义了不同类别用户的限制和能力。
文件所有者、文件组和其他人(即不属于前两个类别的用户)都有权限。 您可以使用带有-l (长列表)选项的ls命令来查看文件或目录的权限。
要更改权限,请使用chmod命令。 至少,如果您对文件具有写入权限,或者您是 root 用户,则可以。
我们可以看到文件权限是以用户为中心的,因为它们在用户级别授予或删除权限。 相比之下,文件的属性是以文件系统为中心的。 与权限一样,它们是在文件或目录上设置的。 但是一旦设置好,它们对所有用户都是一样的。
属性是独立于权限的设置集合。 属性控制特性,例如不变性和其他文件系统级别的行为。 要查看文件或目录的属性,我们使用lsattr命令。 要设置属性,我们使用chattr命令。
权限和属性存储在inode中。 inode 是一种文件系统结构,它保存有关文件系统对象(例如文件和目录)的信息。 文件在硬盘驱动器上的位置、创建日期、权限和属性都存储在其 inode 中。
由于不同的文件系统具有不同的底层结构和功能,因此某些文件系统可能会表现出不同的属性或完全忽略属性。 在本文中,我们使用ext4 ,它是许多 Linux 发行版的默认文件系统。
查看文件的属性
chattr和lsattr命令已经存在于您的计算机上,因此无需安装任何东西。
要检查当前目录中文件的属性,请使用lsattr :
lsattr
虚线是未设置属性的占位符。 唯一设置的属性是e (范围)属性。 这表明文件系统 inode 正在使用(或将在需要时使用)扩展区来指向硬盘驱动器上文件的所有部分。
如果文件保存在一个连续的硬盘块序列中,则其 inode 只需记录用于存储文件的第一个和最后一个块。 如果文件是分片的,inode 必须记录文件每块的第一个和最后一个块的编号。 这些成对的硬盘驱动器块号称为扩展区。
这是最常用的属性列表。
- a :仅附加。 只能附加到具有此属性的文件。 它仍然可以被写入,但只能在文件末尾。 无法覆盖文件中的任何现有数据。
- c :压缩。 该文件在硬盘驱动器上自动压缩并在读取时解压缩。 写入文件的数据在写入硬盘驱动器之前会被压缩。
- 答:没有
atime更新。atime是 inode 中的一个值,用于记录最后一次访问文件的时间。 - C :没有写时复制。 如果两个进程请求访问一个文件,它们可以被赋予指向同一个文件的指针。 只有当他们尝试写入文件时,他们才会获得自己唯一的文件副本,使其对该进程唯一。
- d :没有转储。 Linux
dump命令用于将整个文件系统的副本写入备份介质。 此属性使dump忽略文件。 它从备份中排除。 - D :同步目录更新。 为目录打开此属性后,对该目录的所有更改都会同步(即立即)写入硬盘驱动器。 数据操作可以被缓冲。
- e : 盘区格式。
e属性表示文件系统正在使用扩展区来映射文件在硬盘驱动器上的位置。 你不能用chattr改变它。 它是文件系统操作的函数。 - 我:不可变。 不可变文件不能被修改,包括重命名和删除。 root 用户是唯一可以设置或取消设置此属性的人。
- s :安全删除。 删除具有此属性集的文件时,保存文件数据的硬盘驱动器块将被包含零的字节覆盖。 请注意,
ext4文件系统不支持这一点。 - S :同步更新。 对其
S属性集的文件的更改将同步写入文件。 - u :删除设置了
u属性的文件会生成该文件的副本。 如果文件被错误删除,这可能有利于文件恢复。
更改文件的属性
chattr命令允许我们更改文件或目录的属性。 我们可以使用+ (set) 和- (unset) 运算符来应用或删除属性,类似于chmod命令和权限。
chattr命令还有一个= (仅设置)运算符。 这会将文件或目录的属性设置为仅在命令中指定的属性。 也就是说,所有未在命令行中列出的属性都是unset 。
设置仅附加属性
让我们在文本文件上设置 append-only 属性,看看它如何影响我们可以对文件执行的操作。
sudo chattr +一个文本文件.txt
我们可以检查是否已使用lsattr设置了仅附加位:
lsattr 文本文件.txt
字母“ a ”表示该属性已设置。 让我们尝试覆盖文件。 将输出重定向到带有单个尖括号“ > ”的文件会将文件中的所有内容替换为重定向的输出。
我们已经用一些lorem ipsum占位符文本预加载了文本文件。
猫文本文件.txt
我们将ls的输出重定向到文件中:
ls -l > 文本文件.txt
sudo ls -l > 文本文件.txt
即使我们使用sudo命令,也不允许该操作。
如果我们使用两个尖括号“ >> ”来重定向输出,它会附加到文件中的现有数据中。 这对于我们的仅附加文本文件应该是可以接受的。
sudo ls -l >> 文本文件.txt
我们返回到命令提示符,没有任何错误消息。 让我们看看文件内部发生了什么。
猫文本文件.txt
来自ls的重定向输出已添加到文件末尾。
尽管我们可以将数据附加到文件中,但这是我们可以对其进行的唯一更改。 我们不能删除它,也不能root。
rm 文本文件.txt
sudo rm 文本文件.txt
设置不可变属性
如果你想保护一个永远不会添加新数据的文件,你可以设置 immutable 属性。 这可以防止对文件的所有更改,包括附加数据。
sudo chattr +i second-file.txt
lsattr 第二个文件.txt
我们可以看到“ i ”表示已设置不可变属性。 使我们的文件不可变后,即使是 root 用户也无法重命名( mv )、删除( rm )或向其添加数据。
sudo mv second-file.txt new-name.txt
sudo rm 第二文件.txt
sudo ls -l >> second-file.txt
不要依赖 ext4 上的安全删除
正如我们所指出的,某些操作系统并不支持所有属性。 ext系列文件系统(包括ext4 )不支持安全删除属性。 不要依赖它来安全删除文件。
很容易看出这在ext4中不起作用。 我们将在文本文件上设置s (安全删除)属性。
sudo chattr +s 第三文件.txt
我们要做的是找出保存有关此文件的元数据的 inode。 inode 保存文件占用的第一个硬盘块。 该文件包含一些lorem ipsum占位符文本。
我们将直接从硬盘驱动器读取该块,以验证我们正在读取正确的硬盘驱动器位置。 我们将删除该文件,然后再次读取相同的硬潜水块。 如果遵守安全删除属性,我们应该读取零字节。
我们可以使用带有--fibmap (文件块映射)选项的hdparm命令找到文件的 inode。
sudo hdparm --fibmap 第三文件.txt
第一个硬盘块是 18100656。我们将使用dd命令读取它。
选项包括:
- if=/dev/sda :从这台计算机上的第一个硬盘读取。
- bs=512 :使用 512 字节的硬盘块大小。
- skip=18100656 :跳过块 18100656 之前的所有块。换句话说,从块 18100656 开始读取。
- count=1 :读取一个数据块。
sudo dd if=/dev/sda bs=512 跳过=18100656 计数=1
正如预期的那样,我们看到了lorem ipsum占位符文本。 我们正在读取硬盘驱动器上的正确块。
现在我们将删除该文件。
rm 第三文件.txt
如果我们读取同一个硬盘块,我们仍然可以看到数据。
sudo dd if=/dev/sda bs=512 跳过=18100656 计数=1
同样,不要依赖这个来安全删除ext4 。有更好的方法可以删除文件,这样它们就无法恢复。
相关:如何在 Linux 上安全地删除文件
有用,但谨慎使用
设置文件的属性可以使它们不受意外灾难的影响。 如果您无法删除或覆盖文件,那是非常安全的。
您可能认为您想将它们应用到系统文件并让您的 Linux 安装更加安全。 但系统文件需要在发布更新或应用升级时定期更换。 因此,仅在您自己创建的文件上使用这些属性是最安全的。
相关:如何使用 fail2ban 保护您的 Linux 服务器