Bezpecnost Linuxu pomoci RO partisny

Matus fantomas Uhlar uhlar na fantomas.sk
Pondělí Květen 24 11:12:59 CEST 1999


Oto Buchta <oto_b na jezek.buchtovi.cz> wrote:
-> Potrebuju postavit hodne bezpecnou masinu, na kterou nebudu mit moc casu
-> na spravu a tak jsem uvazoval, jak by se dal RedHat nebo Debian rozjet na
-> stroji, kde by vetsina veci byla RO. Predstavoval bych si to asi takto:

-> sda1 - rw - 50 MB - mount point /
-> sda2 - ro - 20 MB - /boot
-> sda3 - extended partition
-> sda4 - swap 64 MB

swapovat na koniec disku ? to hadam nie !

-> sda5 - ro - 200 MB - /mnt/disk
-> sda6 - ro - 10 MB - /dev
-> sda7 - rw - 220 MB - /home

-> a par dalsich symlinku:
-> /bin -> /mnt/disk/bin
-> /etc -> /mnt/disk/etc
-> /lib -> /mnt/disk/lib
-> /sbin -> /mnt/disk/sbin
-> /usr -> /mnt/disk/usr

-> Na disku sda1 budou pouze adresare
-> /var
-> /tmp

-> Byl by nekde problem? Obzvlaste pak u ro /dev. Nebo bude lepsi dat /dev
-> na sda1 a uvolnenou partitionu pouzit na ro /etc nebo na samostatnou
-> partitionu pro nejaky security program, pravdepodobne ViperDB.pl?

myslim ze  /dev by mal byt v pohode mountovatelne rdonly; akurat ruru
/dev/log pre syslog budete potom musiet asi presmerovat inam.
a mozno aj veci ako /dev/xconsole a ine pomenovane rury v /dev

-> P.S.: Nevite, jak "rozumne" (systemove) zakazat pristup pro telnet, ale
-> umoznit ssh?

velmi rozumne ;)


moja rada: este by ste mohli urobit /tmp /home a /var s flagom noexec;
a vsetky okrem /dev s flagom nodev :)

problem bude s debianom - ten pri instalacii balikov potrbeuje spustat
preinst a postinst skripty; tie bude treba presmerovat na partition ktora
bude mountnutelna s exec :)

-- 
 Matus "fantomas" Uhlar, sysadmin at Telenor Internet Kosice, Slovakia
 BIC coord for *.sk; admin of netlab.irc.sk; co-admin of irc.felk.cvut.cz
 Enter any 12-digit prime number to continue.


Další informace o konferenci Linux