Re: защита от записи куда бы то ни было
В сообщении от Пятница 10 августа 2007 14:11 Konstantin Matyukhin написал(a):
> > Очень интересно. Что помешает руту поменять эту строчку и перемонтировать
> > файловую систему. В поставленной задаче выход один - запрещать на
> > аппаратном уровне.
>
> Вам повезло, вы таки углядели постановку задачи. А то ведь можно
> и до RSBAС с SELinux-ом дойти.
В частных случаях можно и на программном уровне решить - например,
реверс-прокси pound после старта вообще доступа к жесткому диску не имеет.
Меня лично такое решение вполне устраивает, поскольку pound жестко
контролирует корректность запросов и "плохие" просто не отдаст веб-серверу.
P.S. Безопасности дебиана "по умолчанию" хватает почти всегда, наверняка есть
более важные проблемы, кроме как заниматься разными экзерсисами. Например,
приучить людей, знающих рутовый пароль, не писать его на стикере на мониторе
_вместе_ со словом root и адресом хоста. Писать все равно будут :-) так пусть
хоть не пишут, к чему пароль.
Reply to: