GNU/Linux >> Belajar Linux >  >> Debian

Debian – Pengaruh Setting Bit Immutable On /boot Partition?

Tutup . Pertanyaan ini membutuhkan detail atau kejelasan. Saat ini tidak menerima jawaban.

Ingin memperbaiki pertanyaan ini? Tambahkan detail dan perjelas masalahnya dengan mengedit postingan ini.

Ditutup 7 tahun yang lalu.


Perbaiki pertanyaan ini

Apa pengaruh menyetel bit yang tidak dapat diubah pada partisi /boot dengan perspektif keamanan.
apakah disarankan untuk mengatur bit yang tidak dapat diubah (-i ) untuk semua yang ada di bawah /boot? Apakah akan meningkatkan atau menurunkan keamanan sistem?

Saya ingin melangkah lebih jauh dan melakukan hal yang sama untuk file "berharga" lainnya seperti /etc/bind/named.conf , dll.

Jawaban yang Diterima:

TL;DR

Jangan lakukan ini kecuali Anda memiliki persyaratan audit khusus. Biasanya lebih banyak masalah daripada nilainya.

Penjelasan

Satu-satunya akun yang seharusnya memiliki akses tulis ke /boot adalah root. Jika Anda memiliki root, Anda dapat menghapus bit yang tidak dapat diubah dan tetap melakukan apa yang Anda inginkan.

Kelemahan utama dari pemasangan /boot read-only, pengaturan bit yang tidak dapat diubah, atau yang serupa adalah Anda harus membatalkan pengaturan tersebut setiap kali Anda memperbarui kernel atau boot loader Anda. Ini jauh lebih mungkin membuat Anda tersandung daripada menawarkan keamanan yang berarti.

Alternatif

Tergantung pada apa Anda sebenarnya coba lakukan, Anda mungkin memiliki beberapa alternatif. Misalnya:

  1. Memastikan /boot berada di partisi terpisah yang jarang ditulis adalah ide yang bagus jika Anda khawatir tentang kerusakan sistem file.
  2. Memvalidasi konten /boot secara berkala dengan Tripwire atau debsum, terutama saat membandingkan dengan hash yang disimpan di media hanya-baca yang terpisah, adalah tindakan keamanan yang baik jika Anda khawatir akan gangguan.
  3. Memasang /boot hanya-baca, dan kemudian meminta manajer paket Anda memasangnya baca-tulis selama pembaruan, mungkin berguna.

Memasang Ulang Partisi Hanya-Baca Selama Pembaruan Apt

Sebagai contoh alternatif terakhir, Anda dapat mengkonfigurasi /boot read-only di /etc/fstab Anda, kemudian menambahkan sesuatu yang mirip dengan yang berikut ke /etc/apt/apt.conf Anda pada sistem berbasis Debian:

DPkg {
    Pre-Invoke { "mount -o remount,rw /boot"; };
    Post-Invoke {
        "test ${NO_APT_REMOUNT:-no} = yes ||
        mount -o remount,ro /boot ||
        true";
    };
};

Ini akan membuat /boot hanya-baca kecuali selama pembaruan. Jelas, Anda perlu melakukan sesuatu yang berbeda jika Anda tidak menggunakan pengelola paket apt, atau jika hal di atas tidak berhasil karena alasan lain.

Terkait:Bagaimana cara memindahkan 100 file dari folder yang berisi ribuan?
Debian

  1. Meningkatkan GlusterFS dari 3.2(Debian) ke 3.4 untuk Debian Wheezy

  2. Bagaimana Linux Menangani Beberapa Pemisah Jalur Berturut-turut (/home////username///file)?

  3. Partisi /boot Benarkah Untuk?

  1. Debian – Memindahkan /var, /home Untuk Memisahkan Partisi?

  2. Apa arti dari /usr/sbin, /usr/local/sbin dan /usr/local/bin?

  3. Mengapa partisi boot ext2 100MB direkomendasikan untuk linux?

  1. Menyiapkan Server dan Klien NFS di Debian Wheezy

  2. Debian – Memaksa E2fsck Aktif /var Pada Setiap Boot?

  3. Apakah partisi / boot selalu diperlukan?