《NetBSD指南-19.5.Veriexec和分层式文件系统》

[leo]

Veriexec可以应用在NFS文件系统的客户端一方；以及应用于分层式文件系统，诸如:union文件系统。仅需要将这些文件系统内的文件指定在 /etc/signatures 文件内，然后在指纹被加载前挂载这些文件系统。

如果你要使用分层式文件系统，你必须确保包含了每层文件系统内需保护的文件的指纹。如果你不这样做，有人可能会通过分层式文件系统堆栈内不同的层重写一个Veriexec保护的文件。这些限制可能会在以后的NetBSD版本中删除。

如果你不使用分层式文件系统及NFS文件系统，我们推荐您在内核配置文件里禁用这些选项。如果你需要使用分层式文件系统，那你必须按照上面段落的相关说明操作，这样可以确保你在每一层要保护的文件全有指纹。 而且你应该在文件系统噢乖挂载后将安全级别上调为2:
[INDENT] kern.securelevel=2
[/INDENT]来防止新的挂载层威胁Veriexec的保护.