GNU/Linux >> LINUX-Kenntnisse >  >> Debian

Debian – Die Auswirkung des Setzens von unveränderlichem Bit auf /boot-Partition?

Geschlossen . Diese Frage braucht Details oder Klarheit. Antworten werden derzeit nicht akzeptiert.

Möchten Sie diese Frage verbessern? Fügen Sie Details hinzu und klären Sie das Problem, indem Sie diesen Beitrag bearbeiten.

Vor 7 Jahren geschlossen.


Verbessern Sie diese Frage

Welche Auswirkung hat das Setzen eines unveränderlichen Bits auf die /boot-Partition im Hinblick auf die Sicherheit.
Ist es ratsam um das unveränderliche Bit zu setzen (-i ) zu allem unter /boot? Wird es die Systemsicherheit erhöhen oder verringern?

Ich würde gerne noch weiter gehen und dasselbe für andere „kostbare“ Dateien wie /etc/bind/named.conf tun usw.

Akzeptierte Antwort:

TL;DR

Tun Sie dies nicht, es sei denn, Sie haben besondere Auditing-Anforderungen. Es ist im Allgemeinen mehr Ärger als es wert ist.

Erklärung

Das einzige Konto, das Schreibzugriff auf /boot haben sollte, ist root. Wenn Sie root haben, können Sie unveränderliche Bits zurücksetzen und sowieso so ziemlich tun, was Sie wollen.

Der Hauptnachteil des Mountens von /boot read-only, des Setzens von unveränderlichen Bits oder Ähnlichem ist, dass Sie diese Einstellungen jedes Mal rückgängig machen müssen, wenn Sie Ihren Kernel oder Bootloader aktualisieren. Das bringt Sie eher ins Stolpern, als sinnvolle Sicherheit zu bieten.

Alternativen

Je nachdem, was Sie wirklich sind versuchen, haben Sie möglicherweise einige Alternativen. Zum Beispiel:

  1. Sicherstellen, dass /boot auf einer separaten Partition liegt, auf die selten geschrieben wird, ist eine gute Idee, wenn Sie sich Sorgen über Dateisystembeschädigungen machen.
  2. Die regelmäßige Validierung des Inhalts von /boot mit Tripwire oder Debsums, insbesondere beim Vergleich mit Hashes, die auf separaten schreibgeschützten Medien gespeichert sind, ist eine gute Sicherheitsmaßnahme, wenn Sie sich Sorgen über Manipulationen machen.
  3. Es kann nützlich sein, /boot schreibgeschützt zu mounten und es dann von Ihrem Paketmanager während Updates lesend und schreibend mounten zu lassen.

Neues Mounten von schreibgeschützten Partitionen während Apt-Updates

Als Beispiel für die letzte Alternative könnten Sie /boot schreibgeschützt in Ihrer /etc/fstab konfigurieren und dann etwas Ähnliches wie das Folgende zu Ihrer /etc/apt/apt.conf auf Debian-basierten Systemen hinzufügen:

DPkg {
    Pre-Invoke { "mount -o remount,rw /boot"; };
    Post-Invoke {
        "test ${NO_APT_REMOUNT:-no} = yes ||
        mount -o remount,ro /boot ||
        true";
    };
};

Dadurch bleibt /boot schreibgeschützt, außer während Updates. Offensichtlich müssen Sie etwas anderes tun, wenn Sie den apt-Paketmanager nicht verwenden oder wenn das obige aus einem anderen Grund nicht funktioniert.

Verwandte:Wie verschiebt man 100 Dateien aus einem Ordner mit Tausenden?

Debian

  1. Debian – E2fsck bei jedem Start auf /var erzwingen?

  2. Debian – Unterstützt Grub2 /boot auf Lvm auf Md-raid?

  3. Auf welcher Partition ist der Bootloader installiert?

  4. Was bedeuten /usr/sbin, /usr/local/sbin und /usr/local/bin?

  5. Ist eine /boot-Partition immer notwendig?

Einrichten der Entwicklungsumgebung python virtualenv unter Debian Linux

Einrichten eines NFS-Servers und -Clients auf Debian Wheezy

So erhöhen Sie die Größe der Boot-Partition in Rocky Linux 8 / CentOS

Wann sollte ich /dev/shm/ verwenden und wann sollte ich /tmp/?

Größe der Bootpartition ändern

Warum 100 MB ext2-Startpartition für Linux empfohlen?