Linux限制用户访问敏感文件的方法

本文系统介绍了五种Linux下限制用户访问敏感文件的核心机制——chmod/chown基础权限控制、ACL单用户细粒度授权、SELinux强制访问控制、sudoers命令级最小权限授予，以及bind mount路径隐藏技术，通过层层递进的安全策略组合，既兼顾灵活性与严格性，又能有效防御越权读写、提权横向渗透及常规路径探测，为系统管理员提供一套可落地、可扩展、纵深防御的敏感数据保护实践指南。

如果需要防止特定用户读取、写入或执行系统中的敏感文件，可以通过Linux的权限控制机制实现精细化访问限制。以下是实施此安全加固的步骤：

一、使用chmod与chown调整基础权限

通过修改文件所有者和权限位，可确保仅授权用户具备必要访问能力，非授权用户无法越权操作。

1、使用ls -l命令确认目标敏感文件的当前所有者与权限，例如/etc/shadow。

2、执行sudo chown root:admin /path/to/sensitive_file，将文件所有者设为root、所属组设为admin组。

3、执行sudo chmod 640 /path/to/sensitive_file，使所有者可读写、组成员仅可读、其他用户无任何权限。

4、将需授权访问的用户加入admin组：sudo usermod -aG admin username。

二、启用ACL进行细粒度控制

当标准Unix权限无法满足单用户级精确授权时，访问控制列表（ACL）支持为特定用户单独设置读、写、执行权限，不依赖组成员身份。

1、确认文件系统已挂载并启用ACL支持，检查mount | grep "$(df . | tail -1 | awk '{print $1}')" | grep acl输出是否含acl选项。

2、若未启用，在/etc/fstab中对应分区行添加acl参数后执行sudo mount -o remount /。

3、为指定用户添加读权限：sudo setfacl -m u:username:r /path/to/sensitive_file。

4、禁止某用户访问：sudo setfacl -m u:unwanted_user:--- /path/to/sensitive_file。

5、验证ACL设置：getfacl /path/to/sensitive_file。

三、利用SELinux实施强制访问控制

SELinux可在内核层对进程与文件间的交互施加策略约束，即使用户拥有传统权限，仍受安全上下文限制，有效防御提权后的横向访问。

1、确认SELinux处于enforcing模式：sestatus | grep "Current mode"，输出应为enforcing。

2、为敏感文件打上专用类型标签，例如：sudo semanage fcontext -a -t etc_t "/path/to/sensitive_file"。

3、应用新标签：sudo restorecon -v /path/to/sensitive_file。

4、创建自定义策略模块，禁止特定用户域（如user_u:user_r:user_t）对该文件类型执行read操作，使用audit2allow -M deny_user_read基于拒绝日志生成规则。

5、加载模块：sudo semodule -i deny_user_read.pp。

四、配置sudoers实现受限命令级访问

对于必须由特定用户以高权限查看或编辑的敏感文件，可通过sudoers白名单机制授予最小必要命令权限，避免直接赋予文件级访问权。

1、运行sudo visudo进入安全编辑模式。

2、添加行：username ALL=(root) /bin/cat /path/to/sensitive_file, /usr/bin/vim /path/to/sensitive_file，限定该用户仅能以root身份执行指定命令。

3、添加NOPASSWD:前缀可免密执行（谨慎评估风险）：username ALL=(root) NOPASSWD: /bin/cat /path/to/sensitive_file。

4、保存退出后，用户需使用sudo cat /path/to/sensitive_file访问，而非直接读取文件。

五、使用bind mount隐藏文件路径

通过将敏感文件所在目录绑定挂载至另一位置，并在原路径设置严格权限，可阻断常规路径访问尝试，增加发现与利用难度。

1、创建隔离挂载点：sudo mkdir -p /secure/mount。

2、执行绑定挂载：sudo mount --bind /original/path /secure/mount。

3、撤销原路径的全局访问：sudo chmod 700 /original/path，确保仅root可进入。

4、将需授权用户的shell环境变量PATH或脚本中涉及该文件的路径统一指向/secure/mount/filename。

5、为防止重启失效，将绑定挂载写入/etc/fstab：/original/path /secure/mount none bind 0 0。

以上就是《Linux限制用户访问敏感文件的方法》的详细内容，更多关于的资料请关注golang学习网公众号！