Re: /lib/init/rw
Max Dmitrichenko -> debian-russian@lists.debian.org @ Fri, 5 Jan 2007 20:10:08 +0300:
>> > Означает ли $subj, что мы движемся в сторону возможности read-only /?
>> Нет, уже там. Если прочитать man hier, то можно заметить, что /etc, /usr и всё в
>> /, кроме /var и /tmp можно монтировать в RO, и это не должно сказываться
>> на работоспособности системы. Поэтому всё, что пытается писать не
>> в {/var, /tmp} --- зло, которое надо искоренять. Так было уже давно.
MD> Я кажется что-то упустил в современных тенденциях. А куда теперь
MD> кашерно писать? А как после этого что-нить переконфигурить или
MD> доставить?
убедиться, что кого попало в системе не болтается (в идеале, конечно,
положить все сервисы, кроме ssh, и запретить логины)
mount / -o remount,rw
mount /usr -o remount,rw
поставить
mount / -o remount,ro
mount /usr -o remount,ro
MD> А главное - какая цель того, чтобы всё сделать read-only?
Если у тебя сервер без присмотра стоит, то получается чуть лучший
уровень надежности - руткиты в наше время редко оказываются готовы к
read-only /. И да, до кучи - все writable разделы монтируем с noexec.
От этого руткиты тоже в ступор впадают неплохо...
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
If it's there and you can see it---it's real
If it's not there and you can see it---it's virtual
If it's there and you can't see it---it's transparent
If it's not there and you can't see it---you erased it!
IBM poster explaining virtual memory, circa 1978
Reply to: