Partitionen als ro mounten?

Rund um die Sicherheit des Systems und die Applikationen
theoracle
Posts: 5
Joined: 2003-09-28 18:29

Partitionen als ro mounten?

Post by theoracle » 2003-11-20 23:20

Hallo.

Ich bin gerade am Ã?berlegen ob man nicht diverse Partitionen read-only mounten sollte um es Angreifern etwas schwerer zu machen.
Natürlich möchte ich allerdings das System am laufen halten und den Betrieb nicht gefährden.

Nun ist die Frage was kann ich als "ro" mounten?
Meine Partitionen sehen so aus:

/dev/hda3 /
/dev/hda2 swap
/dev/hda1 /boot
/dev/hda5 /usr
/dev/hda6 /usr/local (im moment noch für das WebAdmin)
/dev/hda7 /home
/dev/hda8 /tmp
/dev/hda9 /var

Würde gerne Eure Meinung dazu hören:
/ ro
/boot ro
/usr ro
/usr/local rw (braucht das webgui leider)
/home rw
/tmp rw
/var rw

In var liegen die Mails und WWW's.
Home brauche ich eigentlich nicht.

Kann man / einfach so als "ro" mounten?
Hmmm ich hab etc vergessen, da wurschdelt das Webgui drin rum.
Also eine extra Partition oder veränderliche configs wie httpd.conf auf var legen und link drauf?

bye Ingo

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Partitionen als ro mounten?

Post by dodolin » 2003-11-21 00:06

/ ro
Das wird Ã?rger geben, würde ich von abraten. Spontan fällt mir z.B. /etc/mtab ein, welches dynamisch geschrieben wird. Ist aber sicher nicht das einzigste. Der Rest ist IMHO ok.

theoracle
Posts: 5
Joined: 2003-09-28 18:29

Re: Partitionen als ro mounten?

Post by theoracle » 2003-11-21 09:44

Hi.

Danke für den Tipp, an mtab habe ich auch nicht gedacht.
Eigentlich sollte sich doch per Tripwire rausbekommen lassen was
alles im Betrieb dynamisch geschrieben wird. Danach werde ich mir
das ganze mal durch den Kopf gehen lassen und meine Erfahrungen
posten.

bye Ingo

olaf.dietsche
Posts: 401
Joined: 2002-12-19 02:06
Location: Siegburg

Re: Partitionen als ro mounten?

Post by olaf.dietsche » 2003-11-22 09:36

Das Problem läßt sich durch ein

Code: Select all

ln -s /proc/mounts /etc/mtab
lösen.
Ich habe / schon seit langem ro gemountet und bei mir (zuhause) funktioniert das ganz gut. Allerdings will neben mount/mtab z.B. auch passwd auf /etc schreiben. Je nachdem was du auf deiner Maschine installiert hast, kann es noch mehr sein.

Wenn du mit apt-get oder rpm neue Pakete installierst, musst du zuvor daran denken / und /usr rw zu mounten, bzw. bei apt-get Pre-Invoke und Post-Invoke passend zu konfigurieren.

Ein weiterer positiver Aspekt ist, daß im Falle eines Systemcrashs kein fsck für ro Partitionen gemacht werden muß.

dea
Posts: 532
Joined: 2002-08-13 12:05

Re: Partitionen als ro mounten?

Post by dea » 2003-11-29 01:52

Schau mal auf seifried.org, da gibts eine erstklassige Tabelle, welche Partitionen man (seiner Meinung nach) wie mounten soll(te). ro ist nicht alles ;)

http://seifried.org/lasg/installation/ und dann ungefähr in der Mitte der Seite unter "Filesystem structuring and layout" :)