From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 20 Nov 2002 12:18:22 +0300 From: "Artem K. Jouravsky" To: community@altlinux.ru Message-ID: <20021120091822.GL19743@ifirst.ru> Mail-Followup-To: community@altlinux.ru References: <20021119111254.GA26603@router.rega.ru> <3DDA41A4.5000601@rodtext.indi.ru> <20021119190005.4de21b2b.aml@softex.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20021119190005.4de21b2b.aml@softex.ru> User-Agent: Mutt/1.4i Organization: iFirst Ltd. Subject: [Comm] Re: read-only system Sender: community-admin@altlinux.ru Errors-To: community-admin@altlinux.ru X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: community@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: List-Post: On Tue, Nov 19, 2002 at 07:00:05PM +0400, Andrei M. Laptev wrote: > > > Есть желание перевести fs на рутере по максимуму на read-only. В > > >связи с этим возник вопрос: > > >В какие папки/файлы система с установленными DNS, Postfix, syslog, klog > > >система хочет иметь доступ на read-write. > > > > > /etc > > /tmp > > /var > > > А как же / , корневой раздел может быть RO ? > Я вроде читал что нет. Отлично может. Когда-то видел роутер-мечту, построенный на freebsd. * Всё было смонтировано RO, всё что требовало записи (/var, например) было смонтировано noexec. * mount был пропатчен, чтобы работать только в init 1, т.о. перемонтировать раздел становилось возможным только в single user * были убраны компиляторы, perl, вообще практически всё лишнее. Как было написано в сопроводительной записке: "Таким образом, потенциальному взломщику останутся только shell скрипты даже при получении доступа root" -- Best wishes, | ICQ 103399444 Artem K. Jouravsky, | JID ujo@jabber.ru iFirst Ltd, System Administrator. ----------------------- Ужин - при свечах, завтрак - при огнетушителях !