[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: защита от записи куда бы то ни было

 >> Без применения "спецсредств" приходит на ум только chroot
 >> с подмонтированными каталогами в ro вперемешку с --bind на rw.
 >> Но уж больно кривой костыль получается.
> Вы бы описали задачу подробнее, а то можно такого напридумовать, вплоть до
> размещения /usr на CD-R.
запустить процесс от root-а, длф которого накладываются следующие ограничения
(без возможности их снять, конечно):
1) запретить запись в /usr
2) РАЗРЕШИТЬ запись в /usr/local
3) запретить запись в /etc
4) запретить запись в /var
5) РАЗРЕШИТЬ запись в /var/{dir1,dir2,dir3}
...

Примерно, так. Еще подробнее не смогу.
В *BSD для этого есть chroot и mount -t null, который в отличие от
линуксового mount --bind понимает опцию ro.
ПРОСТЫХ аналогов на горизоте не видно :(
Не ясно, умеет ли то, что нужно selinux, но он больше похож на пушку
для моей задачи-воробья.
chroot + локальный локальный NFS + ro - тоже костыль
(по сравнениею с mount -t null).

-- 
Best regards, Aleksey Cheusov.
Reply to: