Verständnisfrage mount read-only

Rund um die Sicherheit des Systems und die Applikationen
AWOHille
Posts: 271
Joined: 2011-09-05 09:00

Verständnisfrage mount read-only

Post by AWOHille » 2013-09-01 20:03

Ich lese des öfteren, das manche Admins empfehlen, die z.B. /usr und root Partition als read-only zu mounten, z.B. hier

http://o-o-s.de/2009-10-26/linux-systemhartung-durch-read-only-der-usr-partition

Mich würden dazu mal andere Meinungen interessieren.

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: Verständnisfrage mount read-only

Post by ddm3ve » 2013-09-01 21:43

Im Grunde ist es eine Hürde, aber wie Du dem Link entnehmen kannst, lässt sich das zügig umgehen. Für einen Angreifer, der eine Lücke erfolgreich ausgenutzt hat, wäre es nun auch einfach möglich das Filesystem um zu mounten.

Sollte eine Patch oder entsprechende Binaries notwendig sein, kann man dies auch in eine RAMDisk laden die sich auch noch noch mounten liese.

Um Grunde müsste man als nächsten Schritt das mounten per Kernelhärtung verhindern. Dann wäre das durchaus ein guter Schutz.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Verständnisfrage mount read-only

Post by daemotron » 2013-09-01 22:21

Wenn die Rechte richtig gesetzt sind (alles in /usr sollte ohnehin nur durch root veränderbar sein), dann hilft oder schadet ein read-only mount überhaupt nicht - entweder ein Angreifer verfügt nicht über root-Rechte; dann kann er ohnehin nix anstellen - oder er hat sich anderweitig root-Rechte verschafft, dann kann er /usr auch rw remounten. Vielleicht kommt ein dummer Angreifer nicht gleich drauf oder ein automatisierter Angriff ist nicht in der Lage, auf diese Situation zu reagieren - das wär's dann aber auch schon. Wenn jemand mit root-Rechten reingekommen ist, kann der praktisch alles machen - wenn er lustig ist, sogar den MBR manipulieren, dass beim nächsten reboot (den er selbst auslösen kann) Dein System in einem KVM oder LXC landet. Dann spielst Du für ihn die Laborratte... (gar nicht so abwegig, einfach mal nach "Blue Pill" googlen).

Unter'm Strich sehe ich die Erschwernis bei Updates deutlich größer als den vermeintlichen Nutzen - die Gretchenfrage ist eher, wie man verhindert, dass ein Angreifer root-Rechte erlangen kann.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: Verständnisfrage mount read-only

Post by ddm3ve » 2013-09-01 22:41

Die einzige wirklich nützliche Sache wäre es, wenn man ein echtes Read Only Medium nutzt.
Also z.B. eine DVD / CD.
Dagegen steht aber noch viel mehr als von Daemotron schon genannt, die unflexibilität auf wichtiges Updates schnell regieren zu können.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

AWOHille
Posts: 271
Joined: 2011-09-05 09:00

Re: Verständnisfrage mount read-only

Post by AWOHille » 2013-09-03 12:54

Ok, danke erst mal für die Antworten.