Linux 服务单元怎么加固:只读根、私有临时与可写路径白名单
一台API服务用专用账号运行,日志和数据也放在单独分配的位置,看起来已经不算高权限。但它一旦被漏洞利用,进程仍可能读取非授权用户文件、把临时文件留在共享位置,甚至改写本不该触碰的宿主机存储路径。服务单元还能再加一层边界:根路径设为只读、临时位置完全隔离、只放行必要的写入位置白名单。
普通的低权限运行账号没法彻底把服务和宿主机其他路径隔离开。用服务单元的沙箱能力划定只读边界、隔离临时位置、用白名单锁死允许写入的路径,能以较低成本缩小漏洞利用后的影响范围。
- 先盘点服务真正需要写入的路径,再启用根路径只读策略。
- ReadWritePaths 只放行业务数据、日志和运行时位置,避免开放宽泛路径。
- PrivateTmp=yes 隔离独立临时位置;NoNewPrivileges=yes 限制进程获得额外权限。
- 先在灰度实例重启并跑通健康检查,观察权限拒绝日志后再同步到全量环境。
先把服务要保护的资产说清楚
需要保护的不是抽象的服务器安全,而是几类具体资产:/etc 下的配置和密钥、其他服务的数据位置、共享的临时文件、应用自己的上传位置和运行日志。服务进程只应拥有完成业务所需的最小文件视图。
常见风险路径并不复杂:应用接收了畸形文件名,第三方组件默认写入公共临时位置,或者调试代码把运行用户可见的配置明文打进日志。专用账号能缩小权限范围,但不等于把文件访问面切成互相隔离的独立分区。目标是让越界访问直接触发权限拒绝,第一时间中断非法操作。
| 资产或存储路径 | 可能风险 | 单元控制项 |
|---|---|---|
| /etc 与基础程序 | 配置或二进制文件被篡改 | 根路径只读策略 |
| /tmp、/var/tmp | 不同服务的临时文件互相干扰、泄露 | PrivateTmp=yes |
| /var/lib/inventory | 业务数据需要持久化落盘 | ReadWritePaths 明确放行 |
| 提权入口 | 子进程通过suid等机制拿到额外权限 | NoNewPrivileges=yes |
最小可用的单元加固片段
不要直接修改发行版或部署工具生成的主单元文件。通过服务管理工具建立drop-in追加配置,后续升级包或重新部署时更不容易丢失自定义规则。下面的配置示例默认服务只需要写业务数据、日志与运行时状态。
[Service] NoNewPrivileges=yes PrivateTmp=yes ProtectHome=yes ReadWritePaths=/var/lib/inventory /var/log/inventory /run/inventory
根路径只读策略的收紧力度很高,服务进程看到的绝大多数路径都会变成只读状态;ReadWritePaths 因此必须列出所有真正需要写入的位置。上传位置如果在 /srv/inventory/uploads,就加入这个精确路径,完全没必要放开整个 /srv 公开路径。
不同发行版支持的指令会有差异,服务也可能依赖证书刷新、socket文件或外部挂载点。先别急着把更多路径塞进白名单,权限拒绝日志反馈的真实需求,比提前预判放开所有路径要靠谱得多。

部署前把写入需求做成清单
先把服务真实写入的位置逐一列出来:数据库文件、上传位置、应用日志、PID文件或socket文件、运行时缓存。通过发行版提供的服务管理命令读取当前单元配置,再重载配置、重启目标服务并查看最近日志;这些操作不会修改业务数据,适合放到灰度验证清单中。
检查单元当前配置 重载单元配置 重启目标服务 查看服务状态与最近日志
灰度机器上至少跑三类请求:普通读接口、会写入业务数据的接口、涉及临时文件处理的逻辑。如果出现 Permission denied 报错,先核对被拒绝的具体路径,再判断它是否真的属于服务的职责范围。把所有未知路径直接加入白名单,只会让隔离边界越来越模糊,最后回到几乎没有防护的状态。
先观察拒绝,再决定是否扩大白名单
加固后的正常状态不是日志里一个错误都没有,而是服务核心链路全正常、非必要路径完全不可写、运维能解释清楚每一条白名单的作用。对于日志轮转或证书更新这类外部任务,优先把职责拆分给专门的运维任务处理,不要随便把关联路径加到业务服务的可写名单里。
如果健康检查不通过,回退操作也很简单:从drop-in配置里移除刚加的异常规则或者临时注释掉对应项,再重载配置并重启服务即可。先保留当时的日志证据,后续在测试环境重放相同请求,才能定位问题到底是指令兼容性不足、路径遗漏,还是应用本身存在越界写入的逻辑。

相关问题
根路径只读策略会不会让服务完全不能写文件?
它会大幅收紧默认的可写范围,所以需要用ReadWritePaths显式放行服务职责内的精确路径,提前盘点清楚所有实际写入的位置再启用就不会出问题。
PrivateTmp能替代应用自身的临时文件清理吗?
不能。它只解决不同服务之间临时位置互相隔离的问题,不负责临时文件的生命周期管理。过期清理、容量上限和异常文件处理仍需要单独实现。
为什么不直接用root跑服务?
root账号会大幅扩大错误和漏洞的影响范围。遇到权限拒绝的报错,应该先判断服务是不是真的需要该路径,而不是直接用更高权限绕过安全边界。
如何判断某条白名单是否设置过宽?
看它是不是覆盖了服务完全用不到的子路径。优先使用精准的业务位置,如果某个位置没法归类为数据、日志或者运行时状态,就应该继续拆分细化。
收尾:可写路径越少,排查范围越小
服务单元加固不是一次性贴完所有安全开关的操作。先梳理清楚服务要保护的资产和实际写入面,再用少量隔离指令划定边界,最后通过灰度请求和日志回溯修正白名单,就能让服务正常跑业务的同时,不会把宿主机的所有存储路径都暴露在风险里。
Go 静态文件更新了浏览器还是旧版本:Cache-Control、ETag 和文件名指纹怎么配
- 上一篇
- Go 静态文件更新了浏览器还是旧版本:Cache-Control、ETag 和文件名指纹怎么配
- 下一篇
- Redis 客户端缓存怎么避免脏数据:CLIENT TRACKING、BCAST 与失效消息处理
-
- 文章 · linux | 5小时前 | Linux · ssh · 运维 · 安全加固 · Linux SSH sshd_config 密钥登录 AllowUsers
- Linux SSH 仅允许密钥登录怎么做:账户白名单、配置检查和可回退发布
- 257浏览 收藏
-
- 文章 · linux | 5天前 | Linux · nginx · HTTP响应头 · 浏览器安全 · SharedArrayBuffer · 跨源隔离 · Linux Nginx SharedArrayBuffer COOP COEP 跨源隔离
- Linux Nginx 配置 COOP 和 COEP:让 SharedArrayBuffer 可用前先做这 4 项检查
- 111浏览 收藏
-
- 文章 · linux | 5天前 | 容器 · 内存 · Linux · 运维 · Linux journalctl 内存排查 cgroup OOM Killed
- Linux 服务器进程被 OOM Killed 怎么排查:从内核日志到 cgroup 内存上限的完整流程
- 316浏览 收藏
-
- 文章 · linux | 1星期前 | Linux · Path · sudo · 运维排查 · 权限配置 · Linux sudo path 绝对路径 command not found secure_path visudo
- Linux sudo 提示 command not found 怎么办:从 secure_path 到绝对路径排查
- 440浏览 收藏
-
- 文章 · linux | 1星期前 | [] · []
- Linux 提示 Permission denied 怎么处理:别急着 chmod 777,先看身份、权限和路径
- 476浏览 收藏
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 543次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 516次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 500次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 485次学习
-
- ljg-skills
- ljg-skills 是李继刚开源的 AI 技能与提示词集合,面向大模型使用者整理了一批可复用的 prompt、角色设定和任务技能模板,适合用于学习提示词设计、搭建个人 AI 工作流和沉淀团队常用智能体能力。
- 4554次使用
-
- MELO音乐
- MELO音乐是一站式AI视频与音乐制作助手,对标suno, udio的高品质体验。提供伴奏生成、原创写词、无损导出、哼唱识曲、混音变声等全套音频与短视频编辑工具。无论是流行Kpop、电音说唱、民谣古风、摇滚儿歌还是商用轻音乐,MELO为你免费谱曲,轻松做同款!
- 4214次使用
-
- UniScribe
- UniScribe 是一款 AI 音视频转文字与内容整理工具,支持上传音频、视频文件或粘贴 YouTube 链接,自动生成转写文本、摘要、思维导图和关键问题,并支持多格式导出,适合会议记录、课程学习、访谈整理和内容创作复盘。
- 4175次使用
-
- 剧云
- 剧云是专业中文剧本创作平台,安全稳定运行十余年,集成AI编剧、剧本医生审核、人物小传、剧情关系图、大纲编写、多人协作、Word导入导出、版权管控功能,数据安全防护,轻松高效创作剧本。
- 4396次使用
-
- 万象有声
- 万象有声,一个专为有声创作者打造的新一代智能有声内容创作平台。平台提供专业的智能拆章、智能画本编辑、AI配音、AI生成音效、后期制作、智能对轨、智能审听等有声创作全流程工具,可以帮助创作者高效、低成本创作出引人入胜的有声作品。立即体验,让有声书制作更简单!
- 4344次使用
-
- 详解golang执行Linuxshell命令完整场景下的使用方法
- 2023-01-07 426浏览
-
- go程序部署到linux上运行的实现方法
- 2023-01-02 387浏览
-
- Linux系统下Go语言开发环境搭建
- 2023-01-07 242浏览
-
- Go语言线程安全之互斥锁与读写锁
- 2022-12-27 346浏览
-
- 快速解决Golang Map 并发读写安全的问题
- 2022-12-29 443浏览

