On Tue, Dec 03, 2002 at 03:56:39PM +0300, Alexey Tourbin wrote:
> On Sun, Dec 01, 2002 at 03:21:07AM +0300, Dmitry V. Levin wrote:
> > > * Всё было смонтировано RO, всё что требовало записи (/var, например) было
> > >   смонтировано noexec. 
> > > * mount был пропатчен, чтобы работать только в init 1, т.о. перемонтировать
> > >   раздел становилось возможным только в single user
> > > * были убраны компиляторы, perl, вообще практически всё лишнее. Как было
> > >   написано в сопроводительной записке: "Таким образом, потенциальному
> > >   взломщику останутся только shell скрипты даже при получении доступа root"
> > 
> > ... и возможность залить недостающий инструментарий по сети:
> > $ cp -p /bin/ls ~/tmp/
> > $ chmod 400 ~/tmp/ls
> > $ /lib/ld-linux.so.2 ~/tmp/ls /             
> > bin  boot  dev  etc  home  lib  mnt  opt  proc  root  sbin  tmp  usr  var
> > 
> > Так что в записке содержалось легко опрвержимое утверждение.
> 
> Можно чуть подробнее? Т.е. вы хотите сказать, что монтирование noexec по
> существу ничего не дает?

Почему? Разница есть:
1. Не всегда dynamic loader доступен.
2. Таким образом нельзя запустить execute-only приложения.
3. Запущенные таким образом приложения не получают suid/sgid.

> > P.S. Как вы думаете, почему я предпочитаю readonly chroot?
> 
> Потому что в чруте есть /lib/ld-linux.so.2?

Нет, потому что там его нет, и его там нельзя создать, равно как и все
остальное.

> А можно ли с него снять chmod -x?

Тогда он будет никому не нужен.


--
ldv