几年前,当我阅读有关 Linux 服务器安全性的内容(可能是一本书)时,我遇到了一个命令或应用程序,它阻止更改 netfilter(iptables)规则,即使是 root 用户也无法更改。问题是,我不记得它的名字或如何找到它。但我现在需要它,所以我又想要它了。
有人有什么想法吗?
编辑:在 *BSD 上是 'kern.securelevel=x'
谢谢你,Matic
答案1
我认为你要找的是盖子。
更具体地说:将 root 权限设置为几乎为零,“密封内核”,然后您必须从那时起修改所有内容,lidsadm等等。但是,您始终可以使用 lidsadm -S(需要 LIDS 密码)为自己赋予 root 权限。
一个简短的例子是:lidsadm -S -- +CAP_NET_ADMIN允许您管理防火墙,然后跟lidsadm -S -- -CAP_NET_ADMIN。
对 LIDS 的进一步讨论超出了本回复的范围,但可以肯定地说,如果您不是细心的管理员,它可能会给您带来与 grsecurity/SELinux/libcap2/etc 一样多的麻烦。有大量文档,并且它适用于最新内核。
嗨嗨。
答案2
crontab 中的 iptables-restore?