Qual é o efeito de configurar bit imutável na partição / boot [closed]

4

Qual é o efeito de definir bit imutável na partição / boot com perspectiva de segurança. é aconselhável definir o bit imutável ( -i ) para tudo em / boot? Aumentará ou degradará a segurança do sistema?

Eu gostaria de ir mais longe e fazer o mesmo com outros arquivos "preciosos" como /etc/bind/named.conf , etc.

    
por Nishan 24.08.2013 / 11:37

1 resposta

11

TL; DR

Não faça isso, a menos que você tenha requisitos de auditoria específicos. Geralmente, é mais problema do que vale a pena.

Explicação

A única conta que deve ter acesso de gravação a / boot é raiz. Se você tem root, você pode desarmar bits imutáveis e praticamente fazer o que quiser de qualquer maneira.

A principal desvantagem de montar / inicializar somente leitura, configurar bits imutáveis ou qualquer coisa semelhante é que você precisará desfazer essas configurações toda vez que atualizar seu kernel ou gerenciador de inicialização. É muito mais provável que isso te atrapalhe do que oferecer segurança significativa.

Alternativas

Dependendo do que você realmente está tentando fazer, você pode ter algumas alternativas. Por exemplo:

  1. Garantir que / boot esteja em uma partição separada que raramente é gravada é uma boa ideia se você estiver preocupado com a corrupção do sistema de arquivos.
  2. Validando periodicamente o conteúdo de / boot com Tripwire ou debuntos , especialmente quando se compara com hashes armazenados em mídias separadas somente para leitura, é uma boa medida de segurança se você estiver preocupado com adulterações.
  3. Montar / inicializar somente leitura e, depois, ter seu gerenciador de pacotes montando-o durante as atualizações, pode ser útil.

Remontando partições somente leitura durante atualizações do Apt

Como exemplo, a última alternativa, você pode configurar / boot read-only em seu / etc / fstab, então adicionar algo similar ao seguinte em seu /etc/apt/apt.conf em sistemas baseados em Debian:

DPkg {
    Pre-Invoke { "mount -o remount,rw /boot"; };
    Post-Invoke {
        "test ${NO_APT_REMOUNT:-no} = yes ||
        mount -o remount,ro /boot ||
        true";
    };
};

Isso manterá / inicializar somente leitura, exceto durante as atualizações. Obviamente, você precisará fazer algo diferente se não estiver usando o gerenciador de pacotes apt, ou se o acima não funcionar por algum outro motivo.

    
por 24.08.2013 / 14:14