Re: / als ro mounten
On Thu, Oct 25, 2001 at 12:48:02AM +0200, Janto Trappe wrote:
> Hallo Marko,
>
> * Marko Schulz <in6x059@public.uni-hamburg.de> [24-10-01 12:24]:
>
> > > Gibts irgendwelche anderen Möglichkeiten?
> >
> > Beim Einsatz von ext2 könntest Du auch auf die wenig bekannten
> > ext2-Attribute zurückgreifen (siehe chattr(1) und lsattr(8)).
>
> Das hilft aber nur gegen Script Kiddies. Wenn ueberhaupt...
Quatsch.
1. Es ging in der ursprünglichen Frage von Joerg gar nicht um
Sicherheit gegenüber Eindringlingen. Es ging darum, wie man
verhindert, daß während des normalen Betriebs aus Versehen Dateien
in /etc überschrieben werden.
_Darauf_ hat sich meine Antwort bezogen. Da die Partition auf der
/etc liegt immer noch zerstört werden kann, ist meine Variante zwar
nicht ganz so sicher wie /etc auf einer eigenen Partition zu halten
und diese RO zu mounten, aber sie bringt schon einiges.
2. Wenn ein Script Kiddie die ext2-Attribute ändern darf, dann darf er
auch /etc rw remounten. Um das zu verhindern, muß man /etc schon
auf einem ro-Medium ablegen (schreibgeschützte Diskette, CD). Joerg
hat aber ein System beschrieben bei dem /etc eine Partition auf der
Festplatte ist und es auch nicht die große Ausnahme ist mal Pakete
zu installieren/deinstallieren. Mit einem ro-Medium wird das
schwierig: Eine CD läßt sich nicht neu beschreiben und eine
Diskette ist schnell zu klein.
Selbst wenn man /etc auf einem ro-Medium hat: Ein Angreifer könnte
dieses unmounten und eine Festplattenpartition oder eine Datei per
Loopback nach /etc mounten. Man wird also darauf achten müssen, daß
dies ebenfalls unmöglich ist.
Wenn man also die Methode /etc-ro-mounten als Weg zu mehr
Sicherheit beschreibt (was Du AFAIR nicht gemacht hast), muß man
auch erzählen wie weit (oder kurz) diese Sicherheit reicht und was
man noch an zusätzlichen Schritten gehen muß.
> Besser ist LIDS.
Natürlich ist LIDS besser. Es ist aber auch mehr Aufwand. So wie eine
Panzertür sicherer ist als die meisten Haustüren.
--
marko schulz
Diese Mail ist auf Grund von ideologischer Verblendung nach den Regeln
der herkömmlichen Rechtschreibung erstellt. Wer verbleibende Fehler
findet darf sie behalten oder sammeln bis sie ein Lösungswort ergeben.
--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------
962 eingetragene Mitglieder in dieser Liste.
Reply to: