让Linux 更安全（三）

　　“in use”值只是为您提供信息，不能被修改 —— 您能修改的只是软限制和硬限制。保存并退出编辑器后， edquota 会读取您刚才编辑的临时文件，并将那些值传递到二进制配额文件，以使您的修改生效。对组配额的编辑与此相同，只是必须使用 -g 选项而不是 -u。

　　软限制是警告级别，可以被超出，而硬限制是严格强制的。软限制有一个 宽限期（grace period） （有时也称为 软性时间限制（soft time limits））；这是允许用户超出软限制直到被系统强制执行之前的时间间隔。

　　您可以使用 edquota -t 来设置宽限期。可以使用的单位是秒、分、小时、天、周和月。其他管理配额的实用工具包括 repquota（总结某个文件系统的配额）、 quotaon 和 quotaoff（打开和关闭配额）。

　　启用强制访问控制

　　通过 SELinux 所实现的强制访问控制（或者说是 MAC），您可以获得进一步的安全性。使用 MAC，操作系统中的许可由进程所属的 用户/组 ID 以及正要被访问的对象（文件）所属的 用户/组 ID 来管理。另外，使用 MAC，Linux 会强制为每个单独的进程执行这些策略，它们会控制进程可以做什么事情。

　　那样，在使用 MAC 进行适当配置的系统中，被外来控制或攻击的服务不能够接管系统。就算是进程运行所属的用户或组 ID（最坏的情形：root）可能会与 /etc/passwd 等关键系统文件权限相匹配，那个策略也会及时地禁止对它们的访问。

　　Internet 上的测试系统可以展现出 SELinux 的有效性，它允许任何人登录；控制机制防止了所有的恶意行为，即使用户能够以 root 身份登录!