[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: / als ro mounten

On Thu, Oct 25, 2001 at 12:48:02AM +0200, Janto Trappe wrote:
> Hallo Marko,
> 
> * Marko Schulz <in6x059@public.uni-hamburg.de> [24-10-01 12:24]:
> 
> > > Gibts irgendwelche anderen Möglichkeiten? 
> > 
> > Beim Einsatz von ext2 könntest Du auch auf die wenig bekannten
> > ext2-Attribute zurückgreifen (siehe chattr(1) und lsattr(8)). 
> 
> Das hilft aber nur gegen Script Kiddies. Wenn ueberhaupt...

Quatsch. 

1. Es ging in der ursprünglichen Frage von Joerg gar nicht um
   Sicherheit gegenüber Eindringlingen. Es ging darum, wie man
   verhindert, daß während des normalen Betriebs aus Versehen Dateien
   in /etc überschrieben werden. 

   _Darauf_ hat sich meine Antwort bezogen. Da die Partition auf der
   /etc liegt immer noch zerstört werden kann, ist meine Variante zwar
   nicht ganz so sicher wie /etc auf einer eigenen Partition zu halten
   und diese RO zu mounten, aber sie bringt schon einiges.

2. Wenn ein Script Kiddie die ext2-Attribute ändern darf, dann darf er
   auch /etc rw remounten. Um das zu verhindern, muß man /etc schon
   auf einem ro-Medium ablegen (schreibgeschützte Diskette, CD). Joerg
   hat aber ein System beschrieben bei dem /etc eine Partition auf der
   Festplatte ist und es auch nicht die große Ausnahme ist mal Pakete
   zu installieren/deinstallieren. Mit einem ro-Medium wird das
   schwierig: Eine CD läßt sich nicht neu beschreiben und eine
   Diskette ist schnell zu klein.

   Selbst wenn man /etc auf einem ro-Medium hat: Ein Angreifer könnte
   dieses unmounten und eine Festplattenpartition oder eine Datei per
   Loopback nach /etc mounten. Man wird also darauf achten müssen, daß
   dies ebenfalls unmöglich ist.  

   Wenn man also die Methode /etc-ro-mounten als Weg zu mehr
   Sicherheit beschreibt (was Du AFAIR nicht gemacht hast), muß man
   auch erzählen wie weit (oder kurz) diese Sicherheit reicht und was
   man noch an zusätzlichen Schritten gehen muß.

> Besser ist LIDS.

Natürlich ist LIDS besser. Es ist aber auch mehr Aufwand. So wie eine
Panzertür sicherer ist als die meisten Haustüren.

-- 
marko schulz

   Diese Mail ist auf Grund von ideologischer Verblendung nach den Regeln
   der herkömmlichen Rechtschreibung erstellt. Wer verbleibende Fehler
   findet darf sie behalten oder sammeln bis sie ein Lösungswort ergeben.

-- 
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

962 eingetragene Mitglieder in dieser Liste.
Reply to: