On Wed, Nov 20, 2002 at 12:18:22PM +0300, Artem K. Jouravsky wrote:
> > > >	  Есть желание перевести fs на рутере по максимуму на read-only. В
> > > >связи с этим возник вопрос: 
> > > >В какие папки/файлы система с установленными DNS, Postfix, syslog, klog
> > > >система хочет иметь доступ на read-write. 
> > > >
> > > /etc
> > > /tmp
> > > /var
> > > 
> > А как же / , корневой раздел может быть RO ?
> > Я вроде читал что нет.
> Отлично может. Когда-то видел роутер-мечту, построенный на freebsd.
> * Всё было смонтировано RO, всё что требовало записи (/var, например) было
>   смонтировано noexec. 
> * mount был пропатчен, чтобы работать только в init 1, т.о. перемонтировать
>   раздел становилось возможным только в single user
> * были убраны компиляторы, perl, вообще практически всё лишнее. Как было
>   написано в сопроводительной записке: "Таким образом, потенциальному
>   взломщику останутся только shell скрипты даже при получении доступа root"

... и возможность залить недостающий инструментарий по сети:
$ cp -p /bin/ls ~/tmp/
$ chmod 400 ~/tmp/ls
$ /lib/ld-linux.so.2 ~/tmp/ls /             
bin  boot  dev  etc  home  lib  mnt  opt  proc  root  sbin  tmp  usr  var

Так что в записке содержалось легко опрвержимое утверждение.

P.S. Как вы думаете, почему я предпочитаю readonly chroot?


--
ldv