Linux 系統中常常會因為設置了不正確的文件或目錄權限導致出現系統安全問題。因此在日常的系統維護中，應該能做到及時發現不正確的文件權限設置并能及時修正，防患于未然，這里介紹幾種用安全加固的方法：

1. 查找系統中任何用戶都擁有寫入權限的文件或者目錄，并保存在文件中用于檢查。

find  /  - type f  –perm  -2  -o –perm -20 > wmodfiles.txt
find  /  - type d  –perm  -2  -o –perm -20 > wmoddir.txt

2. 查找系統中沒有屬主的文件

find /  -nouser –o –nogroup > orphan.txt

這種無屬主的文件對于系統的安全也能造成一定的威脅，有時候也會成為入侵者的工具，建議發現之后，要么修改其屬主信息，要么刪除，?免后患。

3. 查找系統中設置了 S 位的程序

find /  -type f  -perm -4000 –o –perm -2000 > smod.txt

含有 S 位權限的程序對系統的威脅很大，可以把某些沒必要使用 S 位權限的應用程序去掉，以防用戶權限的濫用。

 4.利用 chatter 命令來鎖定系統的重要文件。

指令使用格式：chatter [-RV] [-v version] [mode] files…

主要參數說明：

• -R：遞歸的修改一個目錄下的所有文件以及相應的子目錄。

• -V：顯示修改內容，并在屏幕上打印輸出。

• Mode：部分是用來設置或修改文件屬性的，一般常用的參數是:

• +：在原屬性上追加屬性。

• -：在原屬性上移除屬性。

• a:  在設定該參數后只能向文件中添加數據而不能刪除文件，常用于服務器的系統日志安全（只有root用戶才能設定該屬性）。

• i：在設定該參數后該文件不能被寫入數據或者被修改，刪除，重命名，設定連接等。

在基本了解該命令的用法后，可以對系統中的常見文件設定安全屬性了，示例：

 另外，用戶也可以對常見目錄，例如/bin、/boot、/lib等目錄加上 i 屬性，對系統常用的日志文件例如 /var/log/messages 和 /var/log/wtmp 也可以加上 a 屬性。

雖然通過對重要文件進行加鎖的方式能讓服務器的安全性提高，但是在運維管理上也會出現一些不方便，例如修改密碼時因為 /etc/shadow 文件有 i 屬性，會導致密碼修改失敗。同時對日志文件加入 a 屬性，可能會使得日志輪換功能 logrotate 的失敗?另外，在軟件的安裝和升級時可能需要去掉有關目錄和文件的 i 屬性和 a 屬性。

所以，建議用戶使用 chattr 命令鎖定系統文件時，必須要結合服務器的應用環境來決定是否應用 a 屬性和 i 屬性。