几年前,当我读到关于Linux服务器安全性(也许它是一本书)的东西时,我遇到了一个命令或一个应用程序,即使通过root也不能更改netfilter(iptables)规则。 问题是,我不记得名字或者如何find它。 但是现在我需要它了。
有没有人有任何想法?
编辑:* BSD是'kern.securelevel = x'
谢谢,马蒂奇
我想你要找的是LIDS。
更具体地说:将root的function设置为几乎没有任何function,“密封内核”,然后你就不得不用lidsadm等来修改任何东西。 您可以始终以root身份提供自己的function,但是需要使用lidsadm -S(需要LIDS密码)。
一个简短的例子是: lidsadm -S -- +CAP_NET_ADMIN允许您pipe理防火墙,然后是lidsadm -S -- -CAP_NET_ADMIN 。
关于LIDS的进一步讨论不在本答复的范围之内,但如果你不是一个小心的pipe理员,那么可以说你可以像grsecurity / SELinux / libcap2 /等那样引起你的痛苦。 有大量的文档,它正在使用最新的内核。
HTH。
在crontab的iptables恢复?