sslug-teknik team mailing list archive

Thread
Date

RE: Write protect HD's

To: "'sslug-teknik@xxxxxxxx'" <sslug-teknik@xxxxxxxx>
From: "Alstrup, Kurt" <kurt.alstrup@xxxxxxxxx>
Date: Mon, 8 May 2000 12:57:08 -0700
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

 Tak for svaret. Jeg havde glemt /home idet maskinen ikke rigtig
har nogen brugere. Men man skal selvfoelgelig kunne logge ind og inspicere
systemet, saa /home/<non-root bruger> skal nok ligge paa den skrivbare disk.

 Jeg forstaar ikke helt ideen med remount til RO. En vandal der bryder ind
paa maskinen kan vel remounte sig tilbage til RW og derefter have et aabent
system. Det jeg havde taenkt mig at goere var at isaette Write-Protect
jumperen paa harddisken og derved fysisk skrivebeskytte boot&root-drevet.
Vandalen kan saa hverken overskrive systemprogrammer eller konfiguration,
men kan stadig haerge paa /var, /tmp og den del af /home der ligger paa den
skrivbare disk.

 Det er saa interresant hvad en vandal med et rootkit kan goere i de
omgivelser. Hvis man kunne forhindre execute fra den skrivbare disk saa er
det vel staerkt begraenset hvad skade de udrette. Mount kan fjerne execute
rettigheder (-noexec), men vandalen kan vel remounte og derved faa fuld
access til den skrivbare disk. Er der en maade at forhindre det paa?  Vil
f.eks en aaben fil (eller maaske et current diriectory) resultere i at mount
fejler med en 'drive busy' og paa den maade forhindre en remount?

Kurt Alstrup

-----Original Message-----
From: Frank Damgaard [mailto:frda@xxxxxxxxxxxxx]
Sent: Saturday, May 06, 2000 12:10 AM
To: sslug-teknik@xxxxxxxx
Subject: Re: [TEKNIK] Write protect HD's

On Fri, May 05, 2000 at 14:37:17 -0700, Alstrup, Kurt wrote:

>  Har investeret i DSL og overvejer at bruge en aeldre Pentium Pro maskine
> med RedHat 6.2 som router/NAT/firewall. Der sidder 2 SCSI diske i maskinen
> (den ene let tilgaengelig i en aftagelig skuffe) og mit spoergsmaal er nu
om
> det vil vaere en gevinst sikkerhedsmaessigt at skrive-beskytte root disken
> (efter installation) saa det ikke er muligt

Ofte placerer man filer under :
   /etc   konfigurationsfiler m.v.
   /usr   binære programmer
   /bin   standard programmer tilstede ved boot
   /sbin  standard system programmer tilstede ved boot
   /lib   lib filer tilstede ved boot incl /lib/modules/....
W  /var   variable data som kræver skrive adgang
W  /tmp   temp filer
W  /home  brugeres hjemme kataloger

Kun dem mærket med "W" behøver at have skrive adgang, korrekt 
konfigurerede programmer bør ikke have behov for RW adgang til
de andre. En udtagelse er diverse konfigurationsprogrammer der
kan finde på at ændre lidt overalt, specielt under /etc
Boot af linux kan finde på at kalde "depmod -a"  der roder
i /lib/modules/<kerne-version>
Så hvis man efter boot remounter de partitioner RO som ikke behør
RW adgang er det det nemmeste.

Alternativ se på en af disse floppy systemer til linux-router mv.
(se efter links siden hos sslug)
Disse behøver kun RAM og ingen harddisk.
Så et billigt skrottet PC kan evt. bruges, blot der er nok RAM.

-- 
mvh Frank Damgaard  | http://home3.inet.tele.dk/frda/