硬链接与软链接权限机制不同:硬链接共享inode、绕过路径权限检查,软链接依赖路径解析、受全程目录权限约束;硬链接难审计且无法跨文件系统,软链接路径可见但存在遍历风险。
硬链接和软链接在权限机制上表现一致,但安全影响路径不同——硬链接绕过路径权限检查,软链接受目标路径权限链全程约束。
硬链接不继承路径权限,可能绕过访问控制
硬链接与原文件共享同一个 inode,因此所有权限(读、写、执行)、所有者、时间戳等元数据完全一致。关键点在于:访问硬链接时,系统只校验该文件自身的权限位,不检查其所在目录的执行(x)权限。这意味着:
- 即使硬链接所在目录设置了
chmod 600(无执行权限),只要硬链接文件自身有读权限,用户仍可直接读取内容 - 若一个敏感文件被创建在受限目录中,又在开放目录下建了硬链接,就可能意外暴露数据
- 硬链接无法跨文件系统,所以风险局限在单一挂载点内,但对 root 或具备写权限的用户来说,隐患更隐蔽
软链接全程依赖路径解析,权限检查更严格也更复杂
软链接本身是一个独立的小文件(通常几十字节),存储的是目标路径字符串。访问时系统需逐级解析路径,每一步都受对应目录的执行(x)权限限制。这带来两类安全特征:
- 若软链接指向
/etc/shadow,但用户对/etc目录无执行权限,则访问失败——路径权限成了第一道关卡 - 若软链接指向相对路径如
../data/config.txt,实际解析结果取决于访问时的当前工作目录,存在路径遍历或越权跳转风险 - 软链接可指向不存在的路径(悬空链接),也可能指向设备文件、FIFO 或其他特殊文件,误用可能触发非预期行为
权限继承与审计上的关键差异
从安全运维角度看:
- 硬链接无法通过
ls -l直观识别,必须用ls -li对比 inode 才能发现多个入口指向同一数据;日志和审计工具若只记录文件路径,会漏掉硬链接访问行为 - 软链接在
ls -l中明确显示为lrwxrwxrwx并附带箭头(->),路径清晰可见,便于策略拦截(如 SELinux 可针对符号链接做类型转换控制) - 修改原文件权限会立即影响所有硬链接;而修改软链接自身权限(如
chmod 600 linkname)仅影响该链接文件的元数据,对目标文件毫无作用
实际场景中的安全建议
防范要点不在“禁用链接”,而在理解行为边界:
- 避免在公共可写目录(如
/tmp)中创建指向敏感文件的硬链接 - 使用
find /path -xdev -type f -links +1定期扫描多硬链接文件,评估是否合理 - 对软链接目标路径做规范化处理(如用绝对路径、避免
..)、配合readlink -f验证真实路径再操作 - SELinux 或 AppArmor 等强制访问控制系统中,优先对软链接目标而非链接本身设限,因硬链接无法被单独策略化
