[Comm] Re: read-only system

[Artem K. Jouravsky]

On Tue, Nov 19, 2002 at 07:00:05PM +0400, Andrei M. Laptev wrote:
> > >	  Есть желание перевести fs на рутере по максимуму на read-only. В
> > >связи с этим возник вопрос: 
> > >В какие папки/файлы система с установленными DNS, Postfix, syslog, klog
> > >система хочет иметь доступ на read-write. 
> > >
> > /etc
> > /tmp
> > /var
> > 
> А как же / , корневой раздел может быть RO ?
> Я вроде читал что нет.
Отлично может. Когда-то видел роутер-мечту, построенный на freebsd.
* Всё было смонтировано RO, всё что требовало записи (/var, например) было
  смонтировано noexec. 
* mount был пропатчен, чтобы работать только в init 1, т.о. перемонтировать
  раздел становилось возможным только в single user
* были убраны компиляторы, perl, вообще практически всё лишнее. Как было
  написано в сопроводительной записке: "Таким образом, потенциальному
  взломщику останутся только shell скрипты даже при получении доступа root"

-- 
Best wishes,             | ICQ 103399444
	Artem K. Jouravsky,  | JID ujo на jabber.ru
iFirst Ltd, System Administrator.
-----------------------
Ужин - при свечах, завтрак - при огнетушителях !