GNU/Linux >> Znalost Linux >  >> Debian

Debian – Vliv nastavení neměnného bitu na oddíl /boot?

Zavřeno . Tato otázka vyžaduje podrobnosti nebo jasnost. Momentálně nepřijímá odpovědi.

Chcete zlepšit tuto otázku? Přidejte podrobnosti a objasněte problém úpravou tohoto příspěvku.

Zavřeno před 7 lety.


Vylepšete tuto otázku

Jaký je účinek nastavení neměnného bitu na /boot oddílu s perspektivou zabezpečení.
je to doporučené pro nastavení neměnného bitu (-i ) na vše pod /boot? Zvýší nebo sníží zabezpečení systému?

Chtěl bych jít dále a udělat totéž pro další „vzácné“ soubory jako /etc/bind/named.conf , atd.

Přijatá odpověď:

TL;DR

Nedělejte to, pokud nemáte zvláštní požadavky na audit. Obecně je to více problémů, než to stojí.

Vysvětlení

Jediný účet, který by měl mít přístup k zápisu do /boot, je root. Pokud máte root, můžete zrušit nastavení neměnných bitů a stejně si v podstatě dělat, co chcete.

Hlavní nevýhodou připojení /boot pouze pro čtení, nastavení neměnných bitů nebo čehokoli podobného je, že tato nastavení budete muset vrátit zpět při každé aktualizaci jádra nebo zavaděče. Je mnohem pravděpodobnější, že vás to podrazí, než aby to nabídlo smysluplné zabezpečení.

Alternativy

Podle toho, jací jste skutečně můžete mít nějaké alternativy. Například:

  1. Pokud se obáváte poškození souborového systému, je dobré zajistit, aby byl /boot na samostatném oddílu, na který se zapisuje jen zřídka.
  2. Pravidelné ověřování obsahu /boot pomocí Tripwire nebo debsums, zejména při porovnávání s hodnotami hash uloženými na samostatných médiích pouze pro čtení, je dobrým bezpečnostním opatřením, pokud se obáváte neoprávněné manipulace.
  3. Mohou být užitečné připojit /boot pouze pro čtení a poté nechat správce balíčků, aby jej připojil pro čtení a zápis.

Opětovné připojení oddílů pouze pro čtení během aktualizací Apt

Jako příklad poslední alternativy můžete nakonfigurovat /boot pouze pro čtení ve vašem /etc/fstab a poté přidat něco podobného následujícímu do vašeho /etc/apt/apt.conf na systémech založených na Debianu:

DPkg {
    Pre-Invoke { "mount -o remount,rw /boot"; };
    Post-Invoke {
        "test ${NO_APT_REMOUNT:-no} = yes ||
        mount -o remount,ro /boot ||
        true";
    };
};

Tím zůstane /boot pouze pro čtení s výjimkou aktualizací. Je zřejmé, že pokud nepoužíváte správce balíčků apt nebo pokud výše uvedené nefunguje z nějakého jiného důvodu, budete muset udělat něco jiného.

Související:Jak přesunout 100 souborů ze složky obsahující tisíce?
Debian

  1. Nastavení serveru a klienta NFS na Debian Wheezy

  2. Debian – Vynutit E2fsck na /var při každém spuštění?

  3. Debian – Podporuje Grub2 /boot na Lvm na Md-raid?

  1. Na jakém oddílu je nainstalován Bootloader?

  2. Zvětšit velikost tmpDSK (/tmp)

  3. Jaké jsou významy /usr/sbin, /usr/local/sbin a /usr/local/bin?

  1. Nastavení vývojového prostředí python virtualenv na Debian Linuxu

  2. Upgrade GlusterFS z 3.2 (Debian) na 3.4 pro Debian Wheezy

  3. Jaká je doporučená velikost pro Linux /boot oddíl?