Linux 设置文件只读写保护

团队中经常会出现共用一个环境的问题，有时因为权限、访问控制和审计等措施不当，极易发生关键配置文件被修改的情形。如果团队内沟通不顺畅，极易引发一些问题甚至是冲突。比如谁经常大喊，“是谁又修改了配置文件？”。为了避免这种情况的出现，我们通常会使用版本管理系统，配合堡垒机使用，这样既能实现版本控制、追踪改动，又能实现权限控制和操作审计。但这也不是万无一失，因为并非所有的配置文件都适合或者及时纳入版本管理。因此有时候为了简化，我们需要给文件设置只读属性，这样其他人如果编辑此文件就需要看到文件是只读的提示，提醒操作者与团队沟通，如果配合堡垒机和Linux自身的访问控制，就会非常方便。

为了达到这个目的，我们可以使用chattr +i命令修改文件的属性（如何记住：change attributes 改变属性）。这样即使大家共用一个账号使用同一个环境，也可以起到多一层阻碍的作用。

# touch my.conf
# lsattr my.conf # 查看默认文件的属性，e表示文件使用范围来映射磁盘上的块，该属性可能无法通过chattr移除
--------------e------- my.conf
# chattr +i my.conf # 添加文件不可变更的属性
# lsattr my.conf
----i---------e------- my.conf
# echo 1 > my.conf # 写入失败
-bash: my.conf: Operation not permitted
# chattr -i my.conf # 移除文件不可变更的属性，来自单词 immutable 的首字母
# echo 1 > my.conf # 写入成功

注：chattr +a 命令还可以提高文件系统的性能，例如可以使用它关闭记录atime，这样可以减少一些磁盘IO。