确保无需修改的分区以只读方式挂载
以只读方式挂载无需数据修改的文件系统,可以避免无意或恶意的数据篡改行为,减小攻击面。
操作步骤
- 通过mount命令查看挂载的文件系统是否符合要求。以查看“/root/readonly”目录是否为只读挂载为例。
mount | grep "\/root\/readonly" | grep "\<ro\>"
返回信息如下。若无返回数据,说明该目录未被挂载,或非只读挂载。
/dev/vda on /root/readonly type ext4 (ro,relatime,seclabel)
- 卸载对应挂载点,重新以只读方式挂载。
umount /root/readonly mount -o ro /dev/vda /root/readonly/
- 如果硬盘或分区是通过“/etc/fstab”配置文件进行挂载的,可通过修改该文件,为指定挂载点添加ro挂载方式。
- 打开配置文件。
vim /etc/fstab
- 按“i”进入编辑模式,请根据实际需求,按照以下格式为指定挂载点添加ro挂载方式。
/dev/vda /root/readonly ext4 ro 0 0
- 按“Esc”键退出编辑模式,输入:wq!,按“Enter”键保存并退出文件。
- 打开配置文件。
父主题: 文件系统