RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Verständnisfrage mount read-only

https://www.rootforum.org/forum/viewtopic.php?t=54313

Page 1 of 1

Verständnisfrage mount read-only

Posted: 2013-09-01 20:03
by AWOHille
Ich lese des öfteren, das manche Admins empfehlen, die z.B. /usr und root Partition als read-only zu mounten, z.B. hier

http://o-o-s.de/2009-10-26/linux-system ... -partition

Mich würden dazu mal andere Meinungen interessieren.

Re: Verständnisfrage mount read-only

Posted: 2013-09-01 21:43
by ddm3ve
Im Grunde ist es eine Hürde, aber wie Du dem Link entnehmen kannst, lässt sich das zügig umgehen. Für einen Angreifer, der eine Lücke erfolgreich ausgenutzt hat, wäre es nun auch einfach möglich das Filesystem um zu mounten.

Sollte eine Patch oder entsprechende Binaries notwendig sein, kann man dies auch in eine RAMDisk laden die sich auch noch noch mounten liese.

Um Grunde müsste man als nächsten Schritt das mounten per Kernelhärtung verhindern. Dann wäre das durchaus ein guter Schutz.

Re: Verständnisfrage mount read-only

Posted: 2013-09-01 22:21
by daemotron
Wenn die Rechte richtig gesetzt sind (alles in /usr sollte ohnehin nur durch root veränderbar sein), dann hilft oder schadet ein read-only mount überhaupt nicht - entweder ein Angreifer verfügt nicht über root-Rechte; dann kann er ohnehin nix anstellen - oder er hat sich anderweitig root-Rechte verschafft, dann kann er /usr auch rw remounten. Vielleicht kommt ein dummer Angreifer nicht gleich drauf oder ein automatisierter Angriff ist nicht in der Lage, auf diese Situation zu reagieren - das wär's dann aber auch schon. Wenn jemand mit root-Rechten reingekommen ist, kann der praktisch alles machen - wenn er lustig ist, sogar den MBR manipulieren, dass beim nächsten reboot (den er selbst auslösen kann) Dein System in einem KVM oder LXC landet. Dann spielst Du für ihn die Laborratte... (gar nicht so abwegig, einfach mal nach "Blue Pill" googlen).

Unter'm Strich sehe ich die Erschwernis bei Updates deutlich größer als den vermeintlichen Nutzen - die Gretchenfrage ist eher, wie man verhindert, dass ein Angreifer root-Rechte erlangen kann.

Re: Verständnisfrage mount read-only

Posted: 2013-09-01 22:41
by ddm3ve
Die einzige wirklich nützliche Sache wäre es, wenn man ein echtes Read Only Medium nutzt.
Also z.B. eine DVD / CD.
Dagegen steht aber noch viel mehr als von Daemotron schon genannt, die unflexibilität auf wichtiges Updates schnell regieren zu können.

Re: Verständnisfrage mount read-only

Posted: 2013-09-03 12:54
by AWOHille
Ok, danke erst mal für die Antworten.
All times are UTC+01:00
Page 1 of 1