[Comm] Re: read-only system

[Dmitry V. Levin]

On Tue, Dec 03, 2002 at 03:56:39PM +0300, Alexey Tourbin wrote:
> On Sun, Dec 01, 2002 at 03:21:07AM +0300, Dmitry V. Levin wrote:
> > > * Всё было смонтировано RO, всё что требовало записи (/var, например) было
> > >   смонтировано noexec. 
> > > * mount был пропатчен, чтобы работать только в init 1, т.о. перемонтировать
> > >   раздел становилось возможным только в single user
> > > * были убраны компиляторы, perl, вообще практически всё лишнее. Как было
> > >   написано в сопроводительной записке: "Таким образом, потенциальному
> > >   взломщику останутся только shell скрипты даже при получении доступа root"
> > 
> > ... и возможность залить недостающий инструментарий по сети:
> > $ cp -p /bin/ls ~/tmp/
> > $ chmod 400 ~/tmp/ls
> > $ /lib/ld-linux.so.2 ~/tmp/ls /             
> > bin  boot  dev  etc  home  lib  mnt  opt  proc  root  sbin  tmp  usr  var
> > 
> > Так что в записке содержалось легко опрвержимое утверждение.
> 
> Можно чуть подробнее? Т.е. вы хотите сказать, что монтирование noexec по
> существу ничего не дает?

Почему? Разница есть:
1. Не всегда dynamic loader доступен.
2. Таким образом нельзя запустить execute-only приложения.
3. Запущенные таким образом приложения не получают suid/sgid.

> > P.S. Как вы думаете, почему я предпочитаю readonly chroot?
> 
> Потому что в чруте есть /lib/ld-linux.so.2?

Нет, потому что там его нет, и его там нельзя создать, равно как и все
остальное.

> А можно ли с него снять chmod -x?

Тогда он будет никому не нужен.


--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20021208/58f0aac6/attachment-0006.bin>