1. 文件权限与所有权管理
遵循最小权限原则,使用chmod命令限制文件/目录访问权限:敏感文件设置为600(仅所有者可读写),敏感目录设置为700(仅所有者可读、写、执行)。通过chown(更改所有者)和chgrp(更改所属组)命令,将敏感数据的所有者和组限制为必要用户,避免其他用户或组访问。例如:chmod 600 sensitive_file.txt、chown user:sensitive_group sensitive_file.txt。
2. 访问控制列表(ACL)细化权限
对于更复杂的权限需求(如允许特定用户访问某目录),使用ACL工具(sudo apt-get install acl)设置细粒度权限。例如:setfacl -m u:username:rwx sensitive_file.txt(授予指定用户读写执行权限)、setfacl -m g:groupname:--- sensitive_file.txt(禁止指定组访问)。
3. 强制访问控制(SELinux/AppArmor)
通过SELinux(安全增强模块)或AppArmor(应用级访问控制)实现强制访问控制,限制进程对敏感文件的访问。
selinux-basics和selinux-policy-default包,启用后使用semanage和chcon命令管理文件安全上下文;apparmor和apparmor-utils包,为敏感应用创建配置文件(如/etc/apparmor.d/usr.bin.sensitive_app),并通过aa-enforce命令强制执行。4. 敏感数据加密存储
GnuPG(对称加密,gpg --symmetric --cipher-algo AES256 sensitive_file.txt)或OpenSSL(openssl enc -aes-256-cbc -salt -in file_to_encrypt -out encrypted_file.enc)加密敏感文件,加密后需妥善保管密码/密钥;LUKS(Linux统一密钥设置)加密磁盘分区,步骤包括:安装cryptsetup、格式化分区(cryptsetup luksFormat /dev/sdX)、打开分区(cryptsetup open /dev/sdX my_encrypted_partition)、格式化并挂载(mkfs.ext4 /dev/mapper/my_encrypted_partition、mount /dev/mapper/my_encrypted_partition /mnt);eCryptfs(用户空间文件系统)或EncFS(加密文件系统),在现有文件系统上实现透明加密(如sudo mount -t ecryptfs ~/encrypted ~/encrypted,按提示设置加密选项)。5. 定期备份敏感数据
使用rsync(增量备份,rsync -avz /path/to/sensitive_files /backup/location)、tar(完整备份,tar czf sensitive_backup.tar.gz /path/to/sensitive_files)或duplicity(加密增量备份,duplicity /path/to/source file:///path/to/backup)定期备份敏感数据,备份文件需存储在安全位置(如外部硬盘、远程服务器)。
6. 文件系统与行为监控审计
auditd(sudo apt-get install auditd),配置审计规则监控敏感文件的访问(如auditctl -a exit,always -F arch=b64 -S open -F path=/path/to/sensitive_file -k sensitive_file_access),记录打开、修改、删除等操作;inotify-tools(sudo apt-get install inotify-tools)监控目录变化(如inotifywait -m -e create,modify,delete /path/to/sensitive_dir),及时发现异常操作。7. 物理安全与系统强化
sudo apt-get update && sudo apt-get upgrade),修复已知安全漏洞;ufw或iptables)仅允许必要端口(如SSH的22端口),禁用root远程登录(/etc/ssh/sshd_config中设置PermitRootLogin no)。8. 隐藏与最小化暴露
.)开头的隐藏名称(如.config.ini),减少意外泄露风险;/home/user/.private),避免将其放在公共目录(如/tmp、/var/www);../的路径),避免非法访问上级目录的敏感文件。