Linux下用Chattr提高Ext3文件系统安全

　　但是，还有一个问题是root权限的用户可以通过删除i属性实现对文件的修改。这种防护只不过给获得root权限的攻击者加了一点小麻烦 罢了，系统的安全性并没有根本性的提高。

　　在2.1之前的内核版本中，存在一个安全层(securelevel)的特征。使用安全层可以解决上述问题，因为如果系统的安全层大于0，内核将 不允许对任何文件的i属性进行修改。这些版本的内核由sysctl命令的"kernel.securelevel"变量进行控制。如果在启动时，这个变量 的值被设置为1或者更大的值，内核将不允许对具有i属性和a属性文件进行修改，除非国旗动到单用户状态。

　　但是，由于引入了更为灵活的内核能力特征(kernel capabilities)，以后的内核不再支持安全层。使用内核能力，也可以实现类似的 限制。工具lcap用来查询和调整内核能力约束集(kernel capabilities bounding set)。在启动脚本中加入以下命令，就可以实现对具有i属 性和a属性文件的保护：　　lcap CAP_LINUX_IMMUTABLE
　　lcap CAP_SYS_RAWIO

　　第一个命令删除任何用户（包括超级用户）对i标志的修改能力。第二个命令删除任何用户（主要针对超级用户）对块设备的原始访问 (raw access)能力，防止一些技术高超的攻击者直接修改文件系统索引节点的immutable域。BTW，在系统启动时，CAP_SYS_RAWIO能 力应该直接删除，这个能力是一个非常大的潜在威胁。高明的攻击者获得了超级用户权限之后，通过/dev/kmem设备可以直接修改内核 内存。通过这种方式，可以破坏系统的内核能力约束集(kernel capabilities bounding)。如果没有任何参数，会列出内核支持的能力和目 前生效的内核能力。

　　一旦一个内核能力被删除，就只有在系统重新启动，进入到单用户模式才能删除能力限制。感兴趣的读者，可以从下面的连接中获得更为详细的能力方面的知识：