GNU/Linux >> Linux Esercitazione >  >> Debian

Debian – L'effetto dell'impostazione del bit immutabile sulla partizione /boot?

Chiuso . Questa domanda ha bisogno di dettagli o chiarezza. Attualmente non accetta risposte.

Vuoi migliorare questa domanda? Aggiungi dettagli e chiarisci il problema modificando questo post.

Chiuso 7 anni fa.


Migliora questa domanda

Qual è l'effetto dell'impostazione del bit immutabile sulla partizione /boot con prospettiva di sicurezza.
è consigliabile per impostare il bit immutabile (-i ) a tutto sotto /boot? Migliorerà o degraderà la sicurezza del sistema?

Vorrei andare oltre e fare lo stesso per altri file "preziosi" come /etc/bind/named.conf , ecc.

Risposta accettata:

TL;DR

Non farlo a meno che tu non abbia particolari requisiti di auditing. In genere è più un problema di quanto ne valga la pena.

Spiegazione

L'unico account che dovrebbe avere accesso in scrittura a /boot è root. Se hai root, puoi annullare l'impostazione dei bit immutabili e praticamente fare comunque quello che vuoi.

Il principale svantaggio di montare /boot in sola lettura, impostare bit immutabili o qualcosa di simile è che dovrai annullare queste impostazioni ogni volta che aggiorni il kernel o il caricatore di avvio. È molto più probabile che questo ti faccia inciampare piuttosto che offrire una sicurezza significativa.

Alternative

A seconda di cosa sei realmente provando a farlo, potresti avere alcune alternative. Ad esempio:

  1. Assicurarsi che /boot sia su una partizione separata su cui raramente viene scritto è una buona idea se sei preoccupato per la corruzione del filesystem.
  2. La convalida periodica del contenuto di /boot con Tripwire o debsum, soprattutto quando si confronta con gli hash archiviati su supporti di sola lettura separati, è una buona misura di sicurezza se si è preoccupati di manomissioni.
  3. Potrebbe essere utile montare /boot in sola lettura e poi farlo montare in lettura e scrittura dal gestore dei pacchetti durante gli aggiornamenti.

Rimontaggio delle partizioni di sola lettura durante gli aggiornamenti di Apt

Ad esempio l'ultima alternativa, potresti configurare /boot in sola lettura nel tuo /etc/fstab, quindi aggiungere qualcosa di simile al seguente al tuo /etc/apt/apt.conf su sistemi basati su Debian:

DPkg {
    Pre-Invoke { "mount -o remount,rw /boot"; };
    Post-Invoke {
        "test ${NO_APT_REMOUNT:-no} = yes ||
        mount -o remount,ro /boot ||
        true";
    };
};

Ciò manterrà /boot di sola lettura tranne durante gli aggiornamenti. Ovviamente, dovrai fare qualcosa di diverso se non stai usando il gestore di pacchetti apt, o se quanto sopra non funziona per qualche altro motivo.

Correlati:come spostare 100 file da una cartella che ne contiene migliaia?
Debian

  1. Configurazione dell'ambiente di sviluppo python virtualenv su Debian Linux

  2. Debian – Forza E2fsck su /var ad ogni avvio?

  3. Debian – Grub2 supporta /boot su Lvm su Md-raid?

  4. Su quale partizione è installato il bootloader?

  5. Aumenta la dimensione di tmpDSK (/tmp)

Come aumentare la dimensione della partizione di avvio in Rocky Linux 8 / CentOS

La partizione /boot davvero per?

Debian – Spostare /var, /home in una partizione separata?

Estendi la dimensione della partizione /boot sul filesystem XFS (CentOS/RHEL 7)

Estendi la dimensione della partizione /boot nell'ambiente virtualizzato (CentOS/RHEL 6)

Qual è il significato di /usr/sbin, /usr/local/sbin e /usr/local/bin?