如何限制Linux内核级别的特权用户访问?
我在
learning Linux Kernel Programming找到了这个答案,我的问题更具体针对Linux内核的安全功能.我想知道如何限制特权用户或进程对其他进程和文件的访问权限,而不是root的完全访问权限.
直到现在我发现: >自由访问控制(DAC)的用户和组,区分读取,写入和执行用户,组和其他 清单是否完整?在编写问题时,我发现fanotify监视文件系统事件,例如用于反病毒扫描.可能有更多安全功能可用. 是否有更多Linux安全功能可以从文件或进程内部或外部以可编程方式使用以限制特权访问?也许有一个完整的清单. 解决方法
传统的unix方法限制一个过程,该过程以某种方式需要更多特权并且包含它以使其不能使用超过它所需要的更多特权来“chroot”它.
chroot改变了进程的明显根.如果做得对,它只能访问新创建的chroot环境中的那些资源(aka.chroot jail) 创建一个自愿地做到这一点的过程相对容易,并不常见. 创建一个环境,其中现有的软件(例如网络服务器,邮件服务器……)在家中感觉并且仍然正常运行是需要经验的事情.主要的是找到所需的最小资源集(共享库,配置文件,设备,依赖服务(例如syslog),……). (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |