[Comm] Re: read-only system
Dmitry V. Levin
ldv на altlinux.org
Вс Дек 1 03:21:07 MSK 2002
On Wed, Nov 20, 2002 at 12:18:22PM +0300, Artem K. Jouravsky wrote:
> > > > Есть желание перевести fs на рутере по максимуму на read-only. В
> > > >связи с этим возник вопрос:
> > > >В какие папки/файлы система с установленными DNS, Postfix, syslog, klog
> > > >система хочет иметь доступ на read-write.
> > > >
> > > /etc
> > > /tmp
> > > /var
> > >
> > А как же / , корневой раздел может быть RO ?
> > Я вроде читал что нет.
> Отлично может. Когда-то видел роутер-мечту, построенный на freebsd.
> * Всё было смонтировано RO, всё что требовало записи (/var, например) было
> смонтировано noexec.
> * mount был пропатчен, чтобы работать только в init 1, т.о. перемонтировать
> раздел становилось возможным только в single user
> * были убраны компиляторы, perl, вообще практически всё лишнее. Как было
> написано в сопроводительной записке: "Таким образом, потенциальному
> взломщику останутся только shell скрипты даже при получении доступа root"
... и возможность залить недостающий инструментарий по сети:
$ cp -p /bin/ls ~/tmp/
$ chmod 400 ~/tmp/ls
$ /lib/ld-linux.so.2 ~/tmp/ls /
bin boot dev etc home lib mnt opt proc root sbin tmp usr var
Так что в записке содержалось легко опрвержимое утверждение.
P.S. Как вы думаете, почему я предпочитаю readonly chroot?
--
ldv
----------- следущая часть -----------
Было удалено вложение не в текстовом формате...
Имя : отсутствует
Тип : application/pgp-signature
Размер : 189 байтов
Описание: отсутствует
Url : /pipermail/community/attachments/20021201/5b2640ed/attachment.bin
Подробная информация о списке рассылки Community