Hallo.
Ich bin gerade am Ã?berlegen ob man nicht diverse Partitionen read-only mounten sollte um es Angreifern etwas schwerer zu machen.
Natürlich möchte ich allerdings das System am laufen halten und den Betrieb nicht gefährden.
Nun ist die Frage was kann ich als "ro" mounten?
Meine Partitionen sehen so aus:
/dev/hda3 /
/dev/hda2 swap
/dev/hda1 /boot
/dev/hda5 /usr
/dev/hda6 /usr/local (im moment noch für das WebAdmin)
/dev/hda7 /home
/dev/hda8 /tmp
/dev/hda9 /var
Würde gerne Eure Meinung dazu hören:
/ ro
/boot ro
/usr ro
/usr/local rw (braucht das webgui leider)
/home rw
/tmp rw
/var rw
In var liegen die Mails und WWW's.
Home brauche ich eigentlich nicht.
Kann man / einfach so als "ro" mounten?
Hmmm ich hab etc vergessen, da wurschdelt das Webgui drin rum.
Also eine extra Partition oder veränderliche configs wie httpd.conf auf var legen und link drauf?
bye Ingo
Partitionen als ro mounten?
-
dodolin
- Posts: 3840
- Joined: 2003-01-21 01:59
- Location: Sinsheim/Karlsruhe
Re: Partitionen als ro mounten?
Das wird Ã?rger geben, würde ich von abraten. Spontan fällt mir z.B. /etc/mtab ein, welches dynamisch geschrieben wird. Ist aber sicher nicht das einzigste. Der Rest ist IMHO ok./ ro
-
theoracle
- Posts: 5
- Joined: 2003-09-28 18:29
Re: Partitionen als ro mounten?
Hi.
Danke für den Tipp, an mtab habe ich auch nicht gedacht.
Eigentlich sollte sich doch per Tripwire rausbekommen lassen was
alles im Betrieb dynamisch geschrieben wird. Danach werde ich mir
das ganze mal durch den Kopf gehen lassen und meine Erfahrungen
posten.
bye Ingo
Danke für den Tipp, an mtab habe ich auch nicht gedacht.
Eigentlich sollte sich doch per Tripwire rausbekommen lassen was
alles im Betrieb dynamisch geschrieben wird. Danach werde ich mir
das ganze mal durch den Kopf gehen lassen und meine Erfahrungen
posten.
bye Ingo
-
olaf.dietsche
- Posts: 401
- Joined: 2002-12-19 02:06
- Location: Siegburg
Re: Partitionen als ro mounten?
Das Problem läßt sich durch ein lösen.
Ich habe / schon seit langem ro gemountet und bei mir (zuhause) funktioniert das ganz gut. Allerdings will neben mount/mtab z.B. auch passwd auf /etc schreiben. Je nachdem was du auf deiner Maschine installiert hast, kann es noch mehr sein.
Wenn du mit apt-get oder rpm neue Pakete installierst, musst du zuvor daran denken / und /usr rw zu mounten, bzw. bei apt-get Pre-Invoke und Post-Invoke passend zu konfigurieren.
Ein weiterer positiver Aspekt ist, daß im Falle eines Systemcrashs kein fsck für ro Partitionen gemacht werden muß.
Code: Select all
ln -s /proc/mounts /etc/mtabIch habe / schon seit langem ro gemountet und bei mir (zuhause) funktioniert das ganz gut. Allerdings will neben mount/mtab z.B. auch passwd auf /etc schreiben. Je nachdem was du auf deiner Maschine installiert hast, kann es noch mehr sein.
Wenn du mit apt-get oder rpm neue Pakete installierst, musst du zuvor daran denken / und /usr rw zu mounten, bzw. bei apt-get Pre-Invoke und Post-Invoke passend zu konfigurieren.
Ein weiterer positiver Aspekt ist, daß im Falle eines Systemcrashs kein fsck für ro Partitionen gemacht werden muß.
-
dea
- Posts: 532
- Joined: 2002-08-13 12:05
Re: Partitionen als ro mounten?
Schau mal auf seifried.org, da gibts eine erstklassige Tabelle, welche Partitionen man (seiner Meinung nach) wie mounten soll(te). ro ist nicht alles ;)
http://seifried.org/lasg/installation/ und dann ungefähr in der Mitte der Seite unter "Filesystem structuring and layout" :)
http://seifried.org/lasg/installation/ und dann ungefähr in der Mitte der Seite unter "Filesystem structuring and layout" :)