Несколько лет назад, когда я читал что-то о безопасности Linux-сервера (возможно, это была книга), я столкнулся с командой или приложением, которые не позволяли изменять правила netfilter (iptables) даже корнем. Проблема в том, что я не помню ни имени, ни как его найти. Но я хочу это снова, как мне это нужно сейчас.
У кого-нибудь есть идеи?
Изменить: на * BSD 'kern.securelevel = x'
Спасибо, Матич
Я думаю, что ты ищешь КРЫШКИ.
Точнее: установите возможности root на почти ничего, «запечатайте ядро», и тогда вам придется что-либо модифицировать с этого момента с помощью lidsadm и тому подобное. Однако вы всегда можете предоставить себе возможности как root, используя lidsadm -S (требуется пароль LIDS).
Краткий пример: lidsadm -S -- +CAP_NET_ADMIN чтобы вы могли управлять брандмауэром, а затем lidsadm -S -- -CAP_NET_ADMIN.
Дальнейшее обсуждение LIDS выходит за рамки этого ответа, но достаточно сказать, что это может причинить вам столько же горя, как grsecurity / SELinux / libcap2 / etc, если вы не будете осторожным администратором. Имеется множество документации, и она работает с последними версиями ядер.
HTH.
iptables-restore в crontab?