Linuxシステムの整合性保護

Linuxシステムの整合性保護

私は、操作や書き込みの試み(macOSと同様にrootユーザーの試み)から特定のフォルダを保護する方法を探しています。オプションが見つかりましたが、便利なものが見つかりませんでした。 rootユーザーはchattr -i。 confおよび他の文書。

答え1

悪意のあるルートユーザーから自分自身を保護することはできません。定義によると、カーネルモジュールのロード/アンロード、カーネルメモリの変更など、システムへのフルアクセス権があります。

システム自体を保護する方法を探しているなら、それが可能かどうかはわかりません。

システムを安全に保つには、自分以外の人がルートにアクセスできないようにする必要があります。それがすべてです。

答え2

従来のUnix権限モデル(任意のアクセス制御DAC)では、rootユーザーは全能で特定のファイルへのアクセスを制限することはできませんが、必要なアクセス制御を実装してユーザーrootを制限することはできません。実際の実装については、Sven Vermeulenのブログ記事をご覧ください。SELinuxMACフォルダへのルートアクセスも制限します。

関連情報