Linux下用Chattr提高Ext3文件系统安全

　　LCAP - Linux内核能力约束集编辑器(Linux Kernel Capabilities Bounding Set Editor)

　　http://pw1.netcom.com/~spoon/lcap/

　　4.我们应该使用chattr做什么？

　　主机直接暴露在Internet或者位于其它危险的环境，有很多shell帐户或者提供HTTP和FTP等网络服务，一般应该在安装配置完成后使用 如下命令：　　chattr -R +i /bin /boot /etc /lib /sbin
　　chattr -R +i /usr/bin /usr/include /usr/lib /usr/sbin
　　chattr +a /var/log/messages /var/log/secure (...)

　　如果很少对帐户进行添加、变更或者删除，把/home本身设置为immutable属性也不会造成什么问题。在很多情况下，整个/usr目录树也 应该具有不可改变属性。实际上，除了对/usr目录使用chattr -R +ii /usr/命令外，还可以在/etc/fstab文件中使用ro选项，使/usr目录所在 的分区以只读的方式加载。另外，把系统日志文件设置为只能添加属性(append-only)，将使入侵者无法擦除自己的踪迹。

　　当然，如果使用这种安全措施，需要系统管理员修改管理方式。

　　4.1.安装、升级软件

　　由于软件管理程序需要加入和删除某些文件和目录，因此在进行软件安装和升级之前需要删除某些目录和文件的immutable和append- only属性。对于Linux系统，我们一般使用rpm管理软件包，你可以使用以下命令查看要安装或者升级的软件包都有哪些文件：　　rpm -qipl foopackage.rpm

　　然后曲调有关目录和文件的immutable和append-only属性。大多数软件包需要rpm命令对以下目录的一个或者多个进行写操作：　　/bin
　　/sbin
　　/usr/bin
　　/usr/sbin
　　/usr/man
　　/lib
　　/etc

　　注意，如果你需要升级/usr/sbin/someprogram，你应该去掉someprogram文件以及目录/usr/sbin的immutable属性。