[Comm] read-only system

[Comm] read-only system

[Oleg Lukashin]

Greetings!

	  Есть желание перевести fs на рутере по максимуму на read-only. В
связи с этим возник вопрос: 
В какие папки/файлы система с установленными DNS, Postfix, syslog, klog
система хочет иметь доступ на read-write. Можно ли перенаправлять вывод
syslog/klog на какую-то другую машину (варианты ?) ?

Заранее спасибо за помощь.

--
Best regards,
Oleg Lukashin
mailto:phd@rega.ru

Re: [Comm] read-only system

[Alexander Lyubushkin]

>
>
>	  Есть желание перевести fs на рутере по максимуму на read-only. В
>связи с этим возник вопрос: 
>В какие папки/файлы система с установленными DNS, Postfix, syslog, klog
>система хочет иметь доступ на read-write. Можно ли перенаправлять вывод
>syslog/klog на какую-то другую машину (варианты ?) ?
>  
>
если ставиться "из коробки"
изменяемые файлы в
/dev
/tmp
/var
/home (хотя сюда write можно блокировать после настройки и ничего особо 
страшного
не будет)

Вывод лога можно направить на другую машину - в документации есть как...


-- 
С Уважением,
Любушкин Александр,
mymail@limark.ru

Re: [Comm] read-only system

[Andrey Vakatov]

Alexander Lyubushkin wrote:
>>
>>
>>       Есть желание перевести fs на рутере по максимуму на read-only. В
>> связи с этим возник вопрос: В какие папки/файлы система с 
>> установленными DNS, Postfix, syslog, klog
>> система хочет иметь доступ на read-write. Можно ли перенаправлять вывод
>> syslog/klog на какую-то другую машину (варианты ?) ?
>>  
>>
> если ставиться "из коробки"
> изменяемые файлы в
> /dev
> /tmp
> /var
> /home (хотя сюда write можно блокировать после настройки и ничего особо 
> страшного
> не будет)
> 
> Вывод лога можно направить на другую машину - в документации есть как...
Некоторые демоны любят в /etc писать.


-- 
Андрей Вакатов

Re: [Comm] read-only system

[Andrey Orlov]

On 2002 November 19 Tuesday 16:53, you wrote:
> > Некоторые демоны любят в /etc писать.
> Например какие ?

FTP  & NFSD ;)

-- 
WthBstRgrds -- Андрей Орлов --  
 --- www.neural.ru, cray@neural.ru ---
----------------------------------------

Re: [Comm] read-only system

[Andrew Velikoredchanin]

Oleg Lukashin wrote:

>Greetings!
>
>	  Есть желание перевести fs на рутере по максимуму на read-only. В
>связи с этим возник вопрос: 
>В какие папки/файлы система с установленными DNS, Postfix, syslog, klog
>система хочет иметь доступ на read-write. 
>
/etc
/tmp
/var

>Можно ли перенаправлять вывод syslog/klog на какую-то другую машину (варианты ?)
>
Легко! Средствами самого syslog - это встроенная возможность. Если надо 
перенаправлять на виндовую тачку, монтируй расшаренный ресурс в /var/log 
(перед стартом syslog) и вперед! :)

Re: [Comm] read-only system

[Oleg Lukashin]

* Andrey Vakatov (vakatov@tatneft.ru) wrote:

> Некоторые демоны любят в /etc писать.

Например какие ?

> -- 
> Андрей Вакатов

--
Best regards,
Oleg Lukashin
mailto:phd@rega.ru

Re: [Comm] read-only system

[Oleg Lukashin]

* Andrey Orlov (cray@neural.ru) wrote:
> On 2002 November 19 Tuesday 16:53, you wrote:
> > > Некоторые демоны любят в /etc писать.
> > Например какие ?
> 
> FTP  & NFSD ;)

Это не критично. В принципе, исходное письмо касалось рутера - там ftp
делать по большому счету нечего. А вообще, vsftpd, например, сама в conf
ничего не пишет AFAIK. с NFSd не работал - не знаю.
Понятно, что иногда надо будет систему смонтировать в read-write, но by
default хочется все что можно в ro.

> -- 
> WthBstRgrds -- Андрей Орлов --  
>  --- www.neural.ru, cray@neural.ru ---

--
Best regards,
Oleg Lukashin
mailto:phd@rega.ru

Re: [Comm] read-only system

[Andrey Orlov]

On 2002 November 19 Tuesday 17:02, you wrote:
> >
> > FTP  & NFSD ;)
>
> Это не критично. В принципе, исходное письмо касалось рутера - там ftp
> делать по большому счету нечего. А вообще, vsftpd, например, сама в conf
> ничего не пишет AFAIK. с NFSd не работал - не знаю.

Извините. Я глупо пошутил.

-- 
WthBstRgrds -- Андрей Орлов --  
 --- www.neural.ru, cray@neural.ru ---
----------------------------------------

Re: [Comm] read-only system

[Andrei M. Laptev]

> >	  Есть желание перевести fs на рутере по максимуму на read-only. В
> >связи с этим возник вопрос: 
> >В какие папки/файлы система с установленными DNS, Postfix, syslog, klog
> >система хочет иметь доступ на read-write. 
> >
> /etc
> /tmp
> /var
> 
А как же / , корневой раздел может быть RO ?
Я вроде читал что нет.

-- 
С уважением,
Лаптев Андрей

Re[2]: [Comm] read-only system

[ASA]

Hello Andrei,

Tuesday, November 19, 2002, 7:00:05 PM, you wrote:
>> /etc
>> /tmp
>> /var
>> 
AML> А как же / , корневой раздел может быть RO ?
дак из-за этих вышеупомянутых каталогов. если их занести
на отдельные fs, то корневой может быть RO

AML> Я вроде читал что нет.
где?


-- 
Best regards,
 ASA                            mailto:llb@udm.ru

Re: [Comm] read-only system

[Andrew Velikoredchanin]

Andrei M. Laptev wrote:

>>>	  Есть желание перевести fs на рутере по максимуму на read-only. В
>>>связи с этим возник вопрос: 
>>>В какие папки/файлы система с установленными DNS, Postfix, syslog, klog
>>>система хочет иметь доступ на read-write. 
>>>
>>>      
>>>
>>/etc
>>/tmp
>>/var
>>
>>    
>>
>А как же / , корневой раздел может быть RO ?
>Я вроде читал что нет.
>  
>
Может! Проверено на практике!

[Comm] Re: read-only system

[Artem K. Jouravsky]

On Tue, Nov 19, 2002 at 07:00:05PM +0400, Andrei M. Laptev wrote:
> > >	  Есть желание перевести fs на рутере по максимуму на read-only. В
> > >связи с этим возник вопрос: 
> > >В какие папки/файлы система с установленными DNS, Postfix, syslog, klog
> > >система хочет иметь доступ на read-write. 
> > >
> > /etc
> > /tmp
> > /var
> > 
> А как же / , корневой раздел может быть RO ?
> Я вроде читал что нет.
Отлично может. Когда-то видел роутер-мечту, построенный на freebsd.
* Всё было смонтировано RO, всё что требовало записи (/var, например) было
  смонтировано noexec. 
* mount был пропатчен, чтобы работать только в init 1, т.о. перемонтировать
  раздел становилось возможным только в single user
* были убраны компиляторы, perl, вообще практически всё лишнее. Как было
  написано в сопроводительной записке: "Таким образом, потенциальному
  взломщику останутся только shell скрипты даже при получении доступа root"

-- 
Best wishes,             | ICQ 103399444
	Artem K. Jouravsky,  | JID ujo@jabber.ru
iFirst Ltd, System Administrator.
-----------------------
Ужин - при свечах, завтрак - при огнетушителях !

Re: Re[2]: [Comm] read-only system

[Andrei M. Laptev]

> AML> Я вроде читал что нет.
> где?
Долго вспоминал-искал нашел:
http://www.botik.ru/~sizif/pcrouter/roroot.koi8.html
ну и вообще www.botik.ru - там как раз и описывается решение, 
но у меня в памяти засело что просто так нельзя корень сделать RO, 
еще раз почитал там в основном проблемы с /etc в частности с mtab

То есть в общем можно замонтировать / в read-only

-- 
С уважением,
Лаптев Андрей

Re[4]: [Comm] read-only system

[ASA]

Hello Andrei,

Wednesday, November 20, 2002, 2:13:56 PM, you wrote:

AML> http://www.botik.ru/~sizif/pcrouter/roroot.koi8.html
AML> ну и вообще www.botik.ru - там как раз и описывается решение, 
AML> но у меня в памяти засело что просто так нельзя корень сделать RO, 
AML> еще раз почитал там в основном проблемы с /etc в частности с mtab
кстати, для embedded-систем можно залинковать /etc/mtab на
/proc/mounts, а mount скомпилить так, чтобы он не юзал mtab

AML> То есть в общем можно замонтировать / в read-only
Во-во

-- 
Best regards,
 ASA                            mailto:llb@udm.ru

Re: Re[2]: [Comm] read-only system

[Oleg Lukashin]

* Andrei M. Laptev (aml@softex.ru) wrote:
> > AML> Я вроде читал что нет.
> > где?
> Долго вспоминал-искал нашел:
> http://www.botik.ru/~sizif/pcrouter/roroot.koi8.html
> ну и вообще www.botik.ru - там как раз и описывается решение, 
> но у меня в памяти засело что просто так нельзя корень сделать RO, 
> еще раз почитал там в основном проблемы с /etc в частности с mtab
> 
> То есть в общем можно замонтировать / в read-only

Собственно, я сделал что хотел. Сейчас у меня разделы /var /dev /etc /home
/root Имеют свое отображение в статике (read-only), и монтируются в память на 
rw, а корень сидит в read-only. Если надо что-то менять - грузимся с
дискеты/cd и монтируем /dev/hda1 в одну из папок.
Да, все это было нужно из-за того, что я поменял основной носитель на рутере
на flash-card. Очень, знаете ли, долговечная машинка получилась.
Сегодня-завтра я ее дострою и попробую поставить на боевое дежурство.

Огромное спасибо всем за советы.

> -- 
> С уважением,
> Лаптев Андрей

--
Best regards,
Oleg Lukashin
mailto:phd@rega.ru

Re: [Comm] Re: read-only system

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1318 bytes --]

On Wed, Nov 20, 2002 at 12:18:22PM +0300, Artem K. Jouravsky wrote:
> > > >	  Есть желание перевести fs на рутере по максимуму на read-only. В
> > > >связи с этим возник вопрос: 
> > > >В какие папки/файлы система с установленными DNS, Postfix, syslog, klog
> > > >система хочет иметь доступ на read-write. 
> > > >
> > > /etc
> > > /tmp
> > > /var
> > > 
> > А как же / , корневой раздел может быть RO ?
> > Я вроде читал что нет.
> Отлично может. Когда-то видел роутер-мечту, построенный на freebsd.
> * Всё было смонтировано RO, всё что требовало записи (/var, например) было
>   смонтировано noexec. 
> * mount был пропатчен, чтобы работать только в init 1, т.о. перемонтировать
>   раздел становилось возможным только в single user
> * были убраны компиляторы, perl, вообще практически всё лишнее. Как было
>   написано в сопроводительной записке: "Таким образом, потенциальному
>   взломщику останутся только shell скрипты даже при получении доступа root"

... и возможность залить недостающий инструментарий по сети:
$ cp -p /bin/ls ~/tmp/
$ chmod 400 ~/tmp/ls
$ /lib/ld-linux.so.2 ~/tmp/ls /             
bin  boot  dev  etc  home  lib  mnt  opt  proc  root  sbin  tmp  usr  var

Так что в записке содержалось легко опрвержимое утверждение.

P.S. Как вы думаете, почему я предпочитаю readonly chroot?


--
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: read-only system

[Alexey Tourbin]

On Sun, Dec 01, 2002 at 03:21:07AM +0300, Dmitry V. Levin wrote:
> > * Всё было смонтировано RO, всё что требовало записи (/var, например) было
> >   смонтировано noexec. 
> > * mount был пропатчен, чтобы работать только в init 1, т.о. перемонтировать
> >   раздел становилось возможным только в single user
> > * были убраны компиляторы, perl, вообще практически всё лишнее. Как было
> >   написано в сопроводительной записке: "Таким образом, потенциальному
> >   взломщику останутся только shell скрипты даже при получении доступа root"
> 
> ... и возможность залить недостающий инструментарий по сети:
> $ cp -p /bin/ls ~/tmp/
> $ chmod 400 ~/tmp/ls
> $ /lib/ld-linux.so.2 ~/tmp/ls /             
> bin  boot  dev  etc  home  lib  mnt  opt  proc  root  sbin  tmp  usr  var
> 
> Так что в записке содержалось легко опрвержимое утверждение.

Можно чуть подробнее? Т.е. вы хотите сказать, что монтирование noexec по
существу ничего не дает?

> P.S. Как вы думаете, почему я предпочитаю readonly chroot?

Потому что в чруте есть /lib/ld-linux.so.2?
А можно ли с него снять chmod -x?
Я просто плохо разбираюсь, как это всё подцепляется.

> --
> ldv

-- 
WBR, Alexey Tourbin	"He is a sane man who can have tragedy 
BIOZAK Ltd., Russia	 in his heart and comedy in his head."
					--G.K.Chesterton

Re: [Comm] Re: read-only system

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1500 bytes --]

On Tue, Dec 03, 2002 at 03:56:39PM +0300, Alexey Tourbin wrote:
> On Sun, Dec 01, 2002 at 03:21:07AM +0300, Dmitry V. Levin wrote:
> > > * Всё было смонтировано RO, всё что требовало записи (/var, например) было
> > >   смонтировано noexec. 
> > > * mount был пропатчен, чтобы работать только в init 1, т.о. перемонтировать
> > >   раздел становилось возможным только в single user
> > > * были убраны компиляторы, perl, вообще практически всё лишнее. Как было
> > >   написано в сопроводительной записке: "Таким образом, потенциальному
> > >   взломщику останутся только shell скрипты даже при получении доступа root"
> > 
> > ... и возможность залить недостающий инструментарий по сети:
> > $ cp -p /bin/ls ~/tmp/
> > $ chmod 400 ~/tmp/ls
> > $ /lib/ld-linux.so.2 ~/tmp/ls /             
> > bin  boot  dev  etc  home  lib  mnt  opt  proc  root  sbin  tmp  usr  var
> > 
> > Так что в записке содержалось легко опрвержимое утверждение.
> 
> Можно чуть подробнее? Т.е. вы хотите сказать, что монтирование noexec по
> существу ничего не дает?

Почему? Разница есть:
1. Не всегда dynamic loader доступен.
2. Таким образом нельзя запустить execute-only приложения.
3. Запущенные таким образом приложения не получают suid/sgid.

> > P.S. Как вы думаете, почему я предпочитаю readonly chroot?
> 
> Потому что в чруте есть /lib/ld-linux.so.2?

Нет, потому что там его нет, и его там нельзя создать, равно как и все
остальное.

> А можно ли с него снять chmod -x?

Тогда он будет никому не нужен.


--
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]