В сообщении от Понедельник, 24-Янв-2005 10:44 Dmitry-T написал(a): > On Sat, 22 Jan 2005 17:58:51 +0300 > > Artem Chuprina <[EMAIL PROTECTED]> wrote: > > Dmitry-T -> debian-russian@lists.debian.org @ Sat, 22 Jan 2005 18:39:32 +0400: > > >> >> При попытке сделать root ro выяснилось, что часть программ хочет > > >> >> писать в что-либо /etc. Например alsa, linuxlogo. Ещё вроде > > >> >> что-то было.... > > >> > > >> D> А зачем это нужно? Для защиты? Может тогда ro сделать только на > > >> D> /bin /sbin ? > > >> > > >> А как ты тогда грузиться будешь? С неподмонтированными-то /bin и > > >> /sbin? Самодельный mkinitrd, который создает initrd, способный не > > >> только / cмонтировать, но и /bin и /sbin? Потом, опять-таки, а /lib > > >> что, не надо? А там modules.dep... > > > > D> А если грузиться по обычному, а потом: > > D> mount -r -t ext3 /dev/hdb1 /bin/ > > D> естественно надо содержимое /bin скопировать в нужный раздел. > > D> у меня сейчас получилось, пытался в bin что-нибудь копировать - не > > даёт, D> теперь еще отмонтировать не хочет :) > > > > Во-во. Ты еще /lib сделай. Да-да, и чтобы modules.dep там был > > правильный... А для защиты /etc тоже защищать надо. Ибо иначе смысл? > > Нет, в основном ro / делают для защиты от сбоев питания (ro файловая > > система заведомо поднимется в консистентном состоянии), ибо хакер, > > получивший рута, может и в rw перемонтировать, либо же нужный процесс в > > памяти подменить. А уж /bin и /sbin в ro при rw /etc и тем более /lib - > > это вообще смех один... От сценарных руткитов, конечно, поможет (хотя, > > наверное, и не от всех), но от многих лишь частично - оно не сможет > > закрепиться, но сможет получить рута и об этом рассказать. > > для ro на /etc у mount есть: > -n Mount without writing in /etc/mtab. This is necessary for exam- > ple when /etc is on a read-only file system. > > но перемонтировать ro в rw действительно без проблем, так что для защиты > от крэкеров в ro немного польз
[EMAIL PROTECTED]:~$ whereis mount mount: /bin/moun > > D> А если грузиться по обычному, а потом: > > D> mount -r -t ext3 /dev/hdb1 /bin/ > > D> естественно надо содержимое /bin скопировать в нужный раздел. И потом с этого нужного раздела удалить mount/umount. :-). Тогда потом труднее перемонтировать. (Разве что со своим моунтом ходить :-) -- ################################################## Dmitry Nezhevenko (dion) <[EMAIL PROTECTED]> GnuPG Key 0xB5BCA66C Mon Jan 24 15:32:38 2005 ##################################################
