《NetBSD指南-19.5.Veriexec和分层式文件系统》
发表于 : 2010-03-06 11:43
Veriexec可以应用在NFS文件系统的客户端一方;以及应用于分层式文件系统,诸如:union文件系统。仅需要将这些文件系统内的文件指定在 /etc/signatures 文件内,然后在指纹被加载前挂载这些文件系统。
如果你要使用分层式文件系统,你必须确保包含了每层文件系统内需保护的文件的指纹。如果你不这样做,有人可能会通过分层式文件系统堆栈内不同的层重写一个Veriexec保护的文件。这些限制可能会在以后的NetBSD版本中删除。
如果你不使用分层式文件系统及NFS文件系统,我们推荐您在内核配置文件里禁用这些选项。如果你需要使用分层式文件系统,那你必须按照上面段落的相关说明操作,这样可以确保你在每一层要保护的文件全有指纹。 而且你应该在文件系统噢乖挂载后将安全级别上调为2:
[INDENT] kern.securelevel=2
[/INDENT]来防止新的挂载层威胁Veriexec的保护.
如果你要使用分层式文件系统,你必须确保包含了每层文件系统内需保护的文件的指纹。如果你不这样做,有人可能会通过分层式文件系统堆栈内不同的层重写一个Veriexec保护的文件。这些限制可能会在以后的NetBSD版本中删除。
如果你不使用分层式文件系统及NFS文件系统,我们推荐您在内核配置文件里禁用这些选项。如果你需要使用分层式文件系统,那你必须按照上面段落的相关说明操作,这样可以确保你在每一层要保护的文件全有指纹。 而且你应该在文件系统噢乖挂载后将安全级别上调为2:
[INDENT] kern.securelevel=2
[/INDENT]来防止新的挂载层威胁Veriexec的保护.