[Comm] Re: read-only system
Alexey Tourbin
=?iso-8859-1?q?at_=CE=C1_turbinal=2Eorg?=
Вт Дек 3 15:56:39 MSK 2002
On Sun, Dec 01, 2002 at 03:21:07AM +0300, Dmitry V. Levin wrote:
> > * Всё было смонтировано RO, всё что требовало записи (/var, например) было
> > смонтировано noexec.
> > * mount был пропатчен, чтобы работать только в init 1, т.о. перемонтировать
> > раздел становилось возможным только в single user
> > * были убраны компиляторы, perl, вообще практически всё лишнее. Как было
> > написано в сопроводительной записке: "Таким образом, потенциальному
> > взломщику останутся только shell скрипты даже при получении доступа root"
>
> ... и возможность залить недостающий инструментарий по сети:
> $ cp -p /bin/ls ~/tmp/
> $ chmod 400 ~/tmp/ls
> $ /lib/ld-linux.so.2 ~/tmp/ls /
> bin boot dev etc home lib mnt opt proc root sbin tmp usr var
>
> Так что в записке содержалось легко опрвержимое утверждение.
Можно чуть подробнее? Т.е. вы хотите сказать, что монтирование noexec по
существу ничего не дает?
> P.S. Как вы думаете, почему я предпочитаю readonly chroot?
Потому что в чруте есть /lib/ld-linux.so.2?
А можно ли с него снять chmod -x?
Я просто плохо разбираюсь, как это всё подцепляется.
> --
> ldv
--
WBR, Alexey Tourbin "He is a sane man who can have tragedy
BIOZAK Ltd., Russia in his heart and comedy in his head."
--G.K.Chesterton
Подробная информация о списке рассылки community