[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: /lib/init/rw

Max Dmitrichenko -> debian-russian@lists.debian.org  @ Fri, 5 Jan 2007 20:10:08 +0300:

 >> > Означает ли $subj, что мы движемся в сторону возможности read-only /?
 >> Нет, уже там. Если прочитать man hier, то можно заметить, что /etc, /usr и всё в
 >> /, кроме /var и /tmp можно монтировать в RO, и это не должно сказываться
 >> на работоспособности системы. Поэтому всё, что пытается писать не 
 >> в {/var, /tmp} --- зло, которое надо искоренять. Так было уже давно.

 MD> Я кажется что-то упустил в современных тенденциях. А куда теперь
 MD> кашерно писать?  А как после этого что-нить переконфигурить или
 MD> доставить?

убедиться, что кого попало в системе не болтается (в идеале, конечно,
положить все сервисы, кроме ssh, и запретить логины)
mount / -o remount,rw
mount /usr -o remount,rw
поставить
mount / -o remount,ro
mount /usr -o remount,ro

 MD> А главное - какая цель того, чтобы всё сделать read-only?

Если у тебя сервер без присмотра стоит, то получается чуть лучший
уровень надежности - руткиты в наше время редко оказываются готовы к
read-only /.  И да, до кучи - все writable разделы монтируем с noexec.
От этого руткиты тоже в ступор впадают неплохо...

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

If it's there and you can see it---it's real
If it's not there and you can see it---it's virtual
If it's there and you can't see it---it's transparent
If it's not there and you can't see it---you erased it!
	IBM poster explaining virtual memory, circa 1978
Reply to: