在linux系统中,文件的权限修改通常通过chmod命令完成,但默认情况下普通用户或root用户都可以随时调整权限。如果要实现不允许更改权限的效果,需要借助文件系统的扩展属性功能,通过chattr命令设置immutable(不可变)属性来实现。

一、chattr和lsattr命令基础
chattr是linux下用于修改文件扩展属性的命令,lsattr则用于查看文件的扩展属性。要实现禁止更改权限,核心是使用chattr的i选项,该选项会让文件被设置为不可变状态,此时不仅无法修改权限,连文件内容、所有者、链接等都无法被修改,即使是root用户也需要先移除该属性才能操作。
1. 查看文件当前扩展属性
使用lsattr命令可以查看文件的扩展属性,基础用法如下:
# 查看单个文件的扩展属性 lsattr test.txt # 查看目录下所有文件的扩展属性 lsattr -a /etc/config/
如果输出结果中没有i标识,说明文件未设置不可变属性。
2. 设置不可变属性
使用chattr命令添加i属性,需要root权限执行:
# 给文件设置不可变属性,禁止修改权限和内容 sudo chattr +i /etc/important.conf # 给目录设置不可变属性,目录下的所有文件都无法修改权限和内容 sudo chattr +i /data/protected_dir/
设置完成后,再次用lsattr查看,会看到文件名前出现i标识:
lsattr /etc/important.conf # 输出示例:----i---------e----- /etc/important.conf
二、验证禁止更改权限的效果
设置完不可变属性后,可以尝试用chmod修改权限,验证是否生效:
# 尝试修改文件权限,会直接报错 sudo chmod 777 /etc/important.conf # 报错信息示例:chmod: changing permissions of '/etc/important.conf': Operation not permitted
同样的,尝试修改文件所有者、删除文件、写入内容都会提示操作不允许,说明不可变属性已经生效。
三、移除不可变属性的方法
如果后续需要重新允许修改权限,需要先移除文件的i属性,同样使用chattr命令:
# 移除文件的不可变属性 sudo chattr -i /etc/important.conf # 移除目录的不可变属性 sudo chattr -i /data/protected_dir/
移除后再次用chmod修改权限就可以正常执行了。
四、注意事项
- chattr设置的
i属性只对支持扩展属性的文件系统有效,比如ext4、xfs等常见linux文件系统,部分特殊文件系统可能不支持。 - 该操作需要root权限,普通用户无法设置和移除
i属性。 - 不要给系统核心目录(如
/、/bin、/sbin等)设置不可变属性,否则会导致系统无法正常运行。 - 如果需要临时禁止修改权限但不想完全锁定文件,可以考虑用chmod设置权限后,通过ACL规则限制修改权限的用户,不过这种方式无法完全阻止root用户修改,而
i属性可以限制root用户的操作。
五、常见场景示例
比如要保护/etc/passwd文件不被修改权限,避免恶意程序篡改该文件的权限导致安全风险,可以执行以下操作:
# 设置/etc/passwd不可变 sudo chattr +i /etc/passwd # 验证权限修改是否受限 sudo chmod 644 /etc/passwd # 此时会提示操作不允许,说明设置生效
如果需要恢复,执行sudo chattr -i /etc/passwd即可。
linuxchattrlsattr文件权限immutable属性修改时间:2026-06-15 19:51:20