Re: ro root
On Sat, 22 Jan 2005 17:58:51 +0300
Artem Chuprina <ran@ran.pp.ru> wrote:
> Dmitry-T -> debian-russian@lists.debian.org @ Sat, 22 Jan 2005 18:39:32 +0400:
>
> >> >> При попытке сделать root ro выяснилось, что часть программ хочет
> >> >> писать в что-либо /etc. Например alsa, linuxlogo. Ещё вроде
> >> >> что-то было....
> >>
> >> D> А зачем это нужно? Для защиты? Может тогда ro сделать только на
> >> D> /bin /sbin ?
> >>
> >> А как ты тогда грузиться будешь? С неподмонтированными-то /bin и /sbin?
> >> Самодельный mkinitrd, который создает initrd, способный не только /
> >> cмонтировать, но и /bin и /sbin? Потом, опять-таки, а /lib что, не
> >> надо? А там modules.dep...
>
> D> А если грузиться по обычному, а потом:
> D> mount -r -t ext3 /dev/hdb1 /bin/
> D> естественно надо содержимое /bin скопировать в нужный раздел.
> D> у меня сейчас получилось, пытался в bin что-нибудь копировать - не даёт,
> D> теперь еще отмонтировать не хочет :)
>
> Во-во. Ты еще /lib сделай. Да-да, и чтобы modules.dep там был
> правильный... А для защиты /etc тоже защищать надо. Ибо иначе смысл?
> Нет, в основном ro / делают для защиты от сбоев питания (ro файловая
> система заведомо поднимется в консистентном состоянии), ибо хакер,
> получивший рута, может и в rw перемонтировать, либо же нужный процесс в
> памяти подменить. А уж /bin и /sbin в ro при rw /etc и тем более /lib -
> это вообще смех один... От сценарных руткитов, конечно, поможет (хотя,
> наверное, и не от всех), но от многих лишь частично - оно не сможет
> закрепиться, но сможет получить рута и об этом рассказать.
>
для ro на /etc у mount есть:
-n Mount without writing in /etc/mtab. This is necessary for exam-
ple when /etc is on a read-only file system.
но перемонтировать ro в rw действительно без проблем, так что для защиты
от крэкеров в ro немного пользы.
Reply to: