Cách sử dụng lệnh Chattr giúp bảo vệ tập tin, thư mục trong Linux

Lệnh Chattr là một công cụ ở tầng hệ thống file, cho phép thiết lập các thuộc tính đặc biệt giúp phòng ngừa rủi ro dữ liệu bị mất, bị ghi đè do lỗi hoặc tấn công từ phần mềm độc hại, từ đó tăng cường tính toàn vẹn hệ thống cho máy chủ Linux và các môi trường vận hành quan trọng. Trong bài viết này, mình sẽ cùng bạn tìm hiểu về lệnh Chattr, đồng thời chia sẻ cách triển khai thuộc tính bất biến trong Chattr giúp bạn bảo vệ dữ liệu hiệu quả.

Những điểm chính

• Định nghĩa lệnh Chattr: Là công cụ Linux cho phép thiết lập thuộc tính đặc biệt cho file, thư mục trên ext2/3/4 để tăng cường bảo mật, bảo vệ dữ liệu.
• Cú pháp và thuộc tính: chattr [toán_tử][thuộc_tính] file. Toán tử: + (thêm), - (gỡ), = (thiết lập); Thuộc tính: i (bất biến), a (chỉ ghi nối tiếp), u (lưu khi xóa), d (không backup), S (ghi đồng bộ).
• Ví dụ sử dụng: chattr +i file (bảo vệ file khỏi sửa/xóa), chattr +a file (chỉ cho phép ghi nối tiếp), chattr -R +i dir (áp dụng đệ quy cho thư mục), lsattr file (kiểm tra thuộc tính).
• Lưu ý quan trọng: Cẩn thận khi dùng +i với file hệ thống để tránh gây lỗi khi update, chỉ root mới có quyền thực hiện và kiểm tra quyền/dùng sudo khi cần.
• Câu hỏi thường gặp: Giải đáp những câu hỏi thường gặp khi triển khai lệnh Chattr.

Lệnh Chattr là gì?

Định nghĩa

Lệnh Chattr trong Linux là công cụ cho phép bạn thay đổi các thuộc tính đặc biệt của file hoặc thư mục trên hệ thống file ext2, ext3, ext4 nhằm tăng cường bảo vệ dữ liệu. Bạn có thể sử dụng Chattr để thiết lập các thuộc tính như immutable (+i) ngăn không cho file bị xóa, chỉnh sửa hoặc đổi tên kể cả với user root. Nhờ đó, việc bảo vệ các file và thư mục quan trọng khỏi mất mát hoặc thay đổi ngoài ý muốn trở nên an toàn, hiệu quả hơn.

Cú pháp

chattr [tùy_chọn] [toán_tử][thuộc_tính] file...

1. [toán_tử]: Quyết định hành động sẽ thực hiện.
   • +: Thêm thuộc tính.
   • -: Gỡ bỏ thuộc tính.
   • =: Thiết lập các thuộc tính được chỉ định làm thuộc tính duy nhất.
2. [thuộc_tính]: Các chữ cái đại diện cho thuộc tính đặc biệt của file.
   • i : File không thể bị xóa, sửa đổi, đổi tên hay tạo liên kết, là thuộc tính quan trọng nhất để bảo vệ file.
   • a: Chỉ cho phép ghi nối tiếp vào cuối file, không cho xóa hay sửa nội dung cũ.
   • u: Khi file bị xóa, nội dung của nó sẽ được lưu lại để có thể khôi phục.
   • d: File sẽ không được sao lưu khi dùng tiện ích dump.
   • S: Các thay đổi trên file sẽ được ghi đồng bộ ngay lập tức xuống đĩa.
3. [tùy_chọn]: Các tham số bổ sung.
   • -R : Áp dụng thay đổi đệ quy cho thư mục và tất cả các file, thư mục con bên trong.
   • -V: Hiển thị chi tiết quá trình thực thi lệnh.
4. file...: Tên của một hoặc nhiều file/thư mục bạn muốn thay đổi thuộc tính.

Ví dụ thực tế

• Để bảo vệ file không thể bị xóa hoặc sửa đổi (Ngay cả bởi root), bạn sử dụng lệnh:

 sudo chattr +i /etc/hosts

• Để gỡ bỏ thuộc tính trên và cho phép sửa file trở lại, bạn sử dụng lệnh:

sudo chattr -i /etc/hosts

• Bạn chạy lệnh sau bảo vệ toàn bộ thư mục mã nguồn:

sudo chattr -R +i /var/www/html/my-project

• Để cho phép file log chỉ được ghi thêm vào, bạn chạy lệnh sau:

 sudo chattr +a /var/log/nginx/access.log

Ưu nhược điểm của lệnh chattr

Cách sử dụng lệnh Chattr bảo vệ file hiệu quả với thuộc tính +i

Sử dụng lệnh Chattr với thuộc tính +i là cách hiệu quả giúp bảo vệ file trên Linux. Thuộc tính này đảm bảo rằng khi một file được áp dụng +i, ngay cả người dùng root cũng không thể thực hiện các thao tác như:

• Xóa file.
• Sửa đổi nội dung file.
• Đổi tên file.
• Tạo hard link đến file.

Thực thi lệnh Chattr với thuộc tính +i là một cơ chế bảo vệ cực kỳ hiệu quả cho các file cấu hình quan trọng mà bạn không muốn chúng bị thay đổi dù là vô tình hay cố ý.

Cách kích hoạt thuộc tính bất biến

Giả sử bạn có một file zero2hero.txt, để gán thuộc tính bất biến cho file này, bạn sử dụng lệnh Chattr với toán tử + và cờ i. Bạn tiến hành chạy lệnh với quyền sudo như sau:

sudo chattr +i zero2hero.txt

Để kiểm tra hiệu quả sau khi kích hoạt thuộc tính, bạn có thể thử tác động vào file với quyền root:

# Thử xóa file
sudo rm zero2hero.txt
# Kết quả: rm: cannot remove 'zero2hero.txt': Operation not permitted

# Thử ghi thêm nội dung vào file
sudo echo "them noi dung" >> zero2hero.txt
# Kết quả: bash: zero2hero.txt: Permission denied

Bạn có thể thấy mọi tác động vào file đều thất bại.

Cách gỡ kích hoạt thuộc tính bất biến

Để đưa file trở lại trạng thái bình thường, bạn dùng toán tử - để gỡ bỏ thuộc tính i:

sudo chattr -i zero2hero.txt

Sau khi chạy lệnh này, file zero2hero.txt sẽ có thể xóa hoặc chỉnh sửa được như bình thường.

1. Thuộc tính +a

File khi được gán thuộc tính +a sẽ chỉ cho phép ghi nối tiếp vào cuối file, bạn không thể xóa hay ghi đè lên nội dung đã có. Cơ chế của thuộc tính +a phù hợp để bảo vệ các file log, đảm bảo các log cũ không bị sửa đổi hay bị xóa mất. Bạn chạy lệnh sau để kích hoạt thuộc tính +a.

sudo chattr +a /var/log/nginx/access.log

Sau khi kích hoạt, bạn sẽ không thể xóa file, không thể ghi đè nhưng có thể thêm nội dung vào cuối file.

2. Áp dụng Chattr cho toàn bộ thư mục

Bạn có thể áp dụng thuộc tính cho một thư mục và tất cả các file/thư mục con bên trong bằng cách sử dụng cờ -R (Recursive).

# Đóng băng toàn bộ thư mục cấu hình và các file bên trong
sudo chattr -R +i /etc/my-app-config/

3. Cách sử dụng lệnh lsattr để kiểm tra thuộc tính

Để biết một file đang được gán những thuộc tính nào, bạn dùng lệnh lsattr:

lsattr zero2hero.txt
# Kết quả ví dụ khi có cờ +i: ----i--------e-- zero2hero.txt

Sự xuất hiện của ký tự i hoặc a trong chuỗi ký tự cho biết file đang có thuộc tính tương ứng.

Kinh nghiệm thực tế của Nguyễn Hưng

• Bạn nên áp dụng thuộc tính bất biến (+i) cho các file hệ thống quan trọng như file cấu hình, file log,… để ngăn chặn người dùng xóa nhầm.
• Để không cho phép add user mới, bạn chạy lệnh sau:

chattr +i /etc/passwd

• Để không cho phép xóa history (Chỉ được ghi thêm vào), bạn dùng lệnh:

chattr +a ~/.bash_history

• Để không cho phép thay đổi DNS, bạn chạy lệnh sau:

chattr +i /etc/resolv.conf

• Sau khi triển khai code lên server, bạn có thể dùng chattr -R +i /var/www/html để đóng băng toàn bộ mã nguồn, ngăn chặn việc chỉnh sửa trái phép hoặc lây nhiễm mã độc (Bạn cần loại bỏ các thư mục như uploads/log… để không bị lỗi).
• Bạn nên dùng cờ +a cho các file log quan trọng để đảm bảo tính toàn vẹn.

Những lưu ý quan trọng khi sử dụng lệnh Chattr

• Nguy cơ xung đột với trình quản lý gói (apt, yum): Khi bạn cập nhật hệ thống, các công cụ này cần quyền ghi đè lên các file hệ thống. Nếu bạn đã đặt cờ +i, quá trình cập nhật có thể bị lỗi. Vì vậy bạn hãy gỡ bỏ thuộc tính (sudo chattr -R -i ...) trước khi nâng cấp hệ thống.
• Hỗ trợ của hệ thống file: Lệnh chattr chỉ hoạt động ổn định trên các hệ thống file chuẩn của Linux như ext2, ext3 hoặc ext4. Nếu bạn sử dụng các hệ thống file khác (Ví dụ: ZFS, BTRFS, XFS), nhiều thuộc tính của chattr đặc biệt là cờ bất biến +i có thể sẽ không được hỗ trợ.
• Chỉ áp dụng cho tài khoản root: Một số thuộc tính đặc biệt như +i chỉ có thể được thêm hoặc gỡ bỏ bởi người dùng root. Nếu không có quyền root, bạn sẽ không thể sử dụng hết các tính năng bảo vệ của chattr.

Kết luận

chattr là một công cụ bảo mật mạnh mẽ, cung cấp lớp kiểm soát sâu hơn so với quyền truy cập truyền thống. Việc nắm vững cách sử dụng thuộc tính +i để tăng cường bảo mật cho file cấu hình và +a để bảo vệ file log là một kỹ năng thiết yếu, giúp việc bảo vệ các tệp tin và thư mục quan trọng khỏi mất mát hoặc thay đổi ngoài ý muốn trở nên an toàn, hiệu quả hơn.