Re: ro root
Dmitry-T -> debian-russian@lists.debian.org @ Sat, 22 Jan 2005 18:39:32 +0400:
>> >> При попытке сделать root ro выяснилось, что часть программ хочет
>> >> писать в что-либо /etc. Например alsa, linuxlogo. Ещё вроде
>> >> что-то было....
>>
>> D> А зачем это нужно? Для защиты? Может тогда ro сделать только на
>> D> /bin /sbin ?
>>
>> А как ты тогда грузиться будешь? С неподмонтированными-то /bin и /sbin?
>> Самодельный mkinitrd, который создает initrd, способный не только /
>> cмонтировать, но и /bin и /sbin? Потом, опять-таки, а /lib что, не
>> надо? А там modules.dep...
D> А если грузиться по обычному, а потом:
D> mount -r -t ext3 /dev/hdb1 /bin/
D> естественно надо содержимое /bin скопировать в нужный раздел.
D> у меня сейчас получилось, пытался в bin что-нибудь копировать - не даёт,
D> теперь еще отмонтировать не хочет :)
Во-во. Ты еще /lib сделай. Да-да, и чтобы modules.dep там был
правильный... А для защиты /etc тоже защищать надо. Ибо иначе смысл?
Нет, в основном ro / делают для защиты от сбоев питания (ro файловая
система заведомо поднимется в консистентном состоянии), ибо хакер,
получивший рута, может и в rw перемонтировать, либо же нужный процесс в
памяти подменить. А уж /bin и /sbin в ro при rw /etc и тем более /lib -
это вообще смех один... От сценарных руткитов, конечно, поможет (хотя,
наверное, и не от всех), но от многих лишь частично - оно не сможет
закрепиться, но сможет получить рута и об этом рассказать.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Reply to: