如何在Linux中禁止服务启动 Linux systemctl mask锁定

使用 systemctl mask 命令可彻底禁止服务启动，它通过将服务链接到 /dev/null 使其无法被加载或执行，比 disable 更彻底，disable 仅禁用开机自启但仍允许手动启动。

要在Linux中彻底禁止一个服务启动，甚至阻止它被手动启动，最可靠且推荐的方法是使用

命令。它通过将服务的单元文件符号链接到 来实现“掩蔽”效果，让系统无法找到并启动该服务。

解决方案

禁止服务启动，特别是那些你确定不需要，甚至可能造成安全隐患或资源浪费的服务，

是一个非常强力的工具。它比 更进一步，后者只是阻止服务在系统启动时自动运行，但你依然可以手动启动它。而 则是釜底抽薪，无论你尝试手动还是自动启动，系统都会因为找不到真正的服务文件而拒绝执行。

要使用它，命令很简单：

例如，如果你想彻底禁用一个名为

的服务：

执行后，你会发现即使你尝试

，系统也会告诉你服务已被掩蔽。

如果将来你需要重新启用这个服务，或者只是想解除它的“掩蔽”状态，可以使用

命令：

这会移除指向

的符号链接，让服务单元文件恢复正常，之后你就可以像往常一样 或 它了。

systemctl mask

登录后复制

与

systemctl disable

登录后复制

有何不同？

说真的，这个问题经常困扰初学者，甚至一些老手有时也会混淆。我个人觉得，理解它们的根本差异，是管理Systemd服务的关键一步。

的作用是阻止服务在系统启动时自动运行。它通常通过在 或其他 目录中移除服务的符号链接来实现。这意味着，服务不会随系统开机启动，但如果你需要，完全可以通过 手动启动它。这就像是把一个应用的“开机自启”选项关掉了。

而

则完全不同。它将服务的单元文件直接符号链接到 。这意味着，当Systemd尝试查找并加载这个服务单元文件时，它找到的只是一个空洞的“黑洞”。无论你是想让它开机自启，还是手动敲命令 它，Systemd都会因为找不到真正的服务定义而拒绝执行。这就像是直接把应用程序的执行文件删掉了一样，你根本没法运行它。在我看来， 更像是一种“永久禁止”或“彻底移除”的策略，适用于那些你明确知道永远不需要，或者出于安全考虑必须完全禁用的服务。比如，某些你觉得可能被滥用的调试服务，或者在你看来完全多余的系统组件。

如何查看已被

mask

登录后复制

的服务列表？

想要知道系统中有哪些服务被你“掩蔽”了，这其实挺重要的，尤其是在排查问题或者回顾配置的时候。毕竟，你可能不记得之前对哪些服务动过手脚。最直接的方法是查看服务的状态，如果一个服务被

了， 命令会明确告诉你。

比如，如果你想检查

：

输出中会有一行显示

或类似的字样，表明它已经被 了。

但如果你想列出所有被

的服务，那就要用到 命令，并结合 来筛选了：

这个命令会列出所有处于

状态的单元文件，包括服务（）、套接字（）等等。这能让你一览无余地看到哪些系统组件被你“锁”住了。我个人觉得，定期检查一下这个列表是个好习惯，特别是当你接手一台新的Linux服务器，或者对系统进行过大量调整之后。有时候，一些不经意的操作可能就导致了某个关键服务被误 ，然后排查起来会很头疼。

误

mask

登录后复制

了关键服务怎么办？

这绝对是每个Linux用户都可能遇到的“心跳骤停”时刻。我个人就经历过几次，手滑或者没搞清楚依赖关系，一不小心就把一些看似不重要，实则系统核心依赖的服务给

了。结果就是系统启动异常，或者某些关键功能直接罢工。遇到这种情况，别慌， 是可逆的。

恢复的命令是

。

执行这个命令后，Systemd会移除之前创建的指向

的符号链接，让服务的原始单元文件重新生效。但请注意， 之后，服务并不会自动启动，也不会自动设置为开机自启。你可能还需要手动启动它：

如果这个服务原本就需要开机自启，你还需要重新

它：

关键在于，在执行

操作之前，一定要非常清楚这个服务的具体作用以及它是否有其他服务依赖它。一个简单的 就能给你很多信息，比如它的描述、依赖关系等等。如果实在不确定，或者服务名称看起来就很核心（比如和网络、日志、文件系统相关的），最好还是先查阅一下文档，或者选择 而不是 。毕竟， 的恢复成本要低得多，而且不至于让系统陷入无法启动的境地。

以上就是如何在Linux中禁止服务启动 Linux systemctl mask锁定的详细内容，更多请关注php中文网其它相关文章！