我正在尝试扩展我对 Linux 安全性的了解,我正在寻找的一件事是保护选定的目录和文件免遭修改、删除或更改属性。我理解“拥有”的目录/文件root不能受到任何非 root 用户的影响。这还不够!
我希望使某些文件和目录具有写保护,并免受包括在内的所有用户的攻击root。我读到过可以使用 grsecurity 和 AppArmor 来限制root,但信息一直很模糊。这两个中的任何一个都可以实现我想要的吗?还是还有其他方法可以实现?
答案1
在类似的情况下,我将文件移动到单独的分区并将其设为只读,这样就没有人可以直接删除它。您需要拥有 root 访问权限并需要重新安装该分区才能修改这些文件。这是保护这些文件最简单的方法。
答案2
您可以使用“chattr”命令为文件设置“不可变”属性,许多版本的 ext(n) 文件系统驱动程序都支持该属性。当然,root 始终可以删除该属性,但不能以任何正常方式修改文件。