* [Comm] read-only system @ 2002-11-19 11:12 Oleg Lukashin 2002-11-19 11:28 ` Alexander Lyubushkin 2002-11-19 13:50 ` Andrew Velikoredchanin 0 siblings, 2 replies; 18+ messages in thread From: Oleg Lukashin @ 2002-11-19 11:12 UTC (permalink / raw) To: community Greetings! Есть желание перевести fs на рутере по максимуму на read-only. В связи с этим возник вопрос: В какие папки/файлы система с установленными DNS, Postfix, syslog, klog система хочет иметь доступ на read-write. Можно ли перенаправлять вывод syslog/klog на какую-то другую машину (варианты ?) ? Заранее спасибо за помощь. -- Best regards, Oleg Lukashin mailto:phd@rega.ru ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] read-only system 2002-11-19 11:12 [Comm] read-only system Oleg Lukashin @ 2002-11-19 11:28 ` Alexander Lyubushkin 2002-11-19 13:34 ` Andrey Vakatov 2002-11-19 13:50 ` Andrew Velikoredchanin 1 sibling, 1 reply; 18+ messages in thread From: Alexander Lyubushkin @ 2002-11-19 11:28 UTC (permalink / raw) To: community > > > Есть желание перевести fs на рутере по максимуму на read-only. В >связи с этим возник вопрос: >В какие папки/файлы система с установленными DNS, Postfix, syslog, klog >система хочет иметь доступ на read-write. Можно ли перенаправлять вывод >syslog/klog на какую-то другую машину (варианты ?) ? > > если ставиться "из коробки" изменяемые файлы в /dev /tmp /var /home (хотя сюда write можно блокировать после настройки и ничего особо страшного не будет) Вывод лога можно направить на другую машину - в документации есть как... -- С Уважением, Любушкин Александр, mymail@limark.ru ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] read-only system 2002-11-19 11:28 ` Alexander Lyubushkin @ 2002-11-19 13:34 ` Andrey Vakatov 2002-11-19 13:53 ` Oleg Lukashin 0 siblings, 1 reply; 18+ messages in thread From: Andrey Vakatov @ 2002-11-19 13:34 UTC (permalink / raw) To: community Alexander Lyubushkin wrote: >> >> >> Есть желание перевести fs на рутере по максимуму на read-only. В >> связи с этим возник вопрос: В какие папки/файлы система с >> установленными DNS, Postfix, syslog, klog >> система хочет иметь доступ на read-write. Можно ли перенаправлять вывод >> syslog/klog на какую-то другую машину (варианты ?) ? >> >> > если ставиться "из коробки" > изменяемые файлы в > /dev > /tmp > /var > /home (хотя сюда write можно блокировать после настройки и ничего особо > страшного > не будет) > > Вывод лога можно направить на другую машину - в документации есть как... Некоторые демоны любят в /etc писать. -- Андрей Вакатов ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] read-only system 2002-11-19 13:34 ` Andrey Vakatov @ 2002-11-19 13:53 ` Oleg Lukashin 2002-11-19 13:42 ` Andrey Orlov 0 siblings, 1 reply; 18+ messages in thread From: Oleg Lukashin @ 2002-11-19 13:53 UTC (permalink / raw) To: community * Andrey Vakatov (vakatov@tatneft.ru) wrote: > Некоторые демоны любят в /etc писать. Например какие ? > -- > Андрей Вакатов -- Best regards, Oleg Lukashin mailto:phd@rega.ru ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] read-only system 2002-11-19 13:53 ` Oleg Lukashin @ 2002-11-19 13:42 ` Andrey Orlov 2002-11-19 14:02 ` Oleg Lukashin 0 siblings, 1 reply; 18+ messages in thread From: Andrey Orlov @ 2002-11-19 13:42 UTC (permalink / raw) To: community On 2002 November 19 Tuesday 16:53, you wrote: > > Некоторые демоны любят в /etc писать. > Например какие ? FTP & NFSD ;) -- WthBstRgrds -- Андрей Орлов -- --- www.neural.ru, cray@neural.ru --- ---------------------------------------- ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] read-only system 2002-11-19 13:42 ` Andrey Orlov @ 2002-11-19 14:02 ` Oleg Lukashin 2002-11-19 14:14 ` Andrey Orlov 0 siblings, 1 reply; 18+ messages in thread From: Oleg Lukashin @ 2002-11-19 14:02 UTC (permalink / raw) To: community * Andrey Orlov (cray@neural.ru) wrote: > On 2002 November 19 Tuesday 16:53, you wrote: > > > Некоторые демоны любят в /etc писать. > > Например какие ? > > FTP & NFSD ;) Это не критично. В принципе, исходное письмо касалось рутера - там ftp делать по большому счету нечего. А вообще, vsftpd, например, сама в conf ничего не пишет AFAIK. с NFSd не работал - не знаю. Понятно, что иногда надо будет систему смонтировать в read-write, но by default хочется все что можно в ro. > -- > WthBstRgrds -- Андрей Орлов -- > --- www.neural.ru, cray@neural.ru --- -- Best regards, Oleg Lukashin mailto:phd@rega.ru ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] read-only system 2002-11-19 14:02 ` Oleg Lukashin @ 2002-11-19 14:14 ` Andrey Orlov 0 siblings, 0 replies; 18+ messages in thread From: Andrey Orlov @ 2002-11-19 14:14 UTC (permalink / raw) To: community On 2002 November 19 Tuesday 17:02, you wrote: > > > > FTP & NFSD ;) > > Это не критично. В принципе, исходное письмо касалось рутера - там ftp > делать по большому счету нечего. А вообще, vsftpd, например, сама в conf > ничего не пишет AFAIK. с NFSd не работал - не знаю. Извините. Я глупо пошутил. -- WthBstRgrds -- Андрей Орлов -- --- www.neural.ru, cray@neural.ru --- ---------------------------------------- ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] read-only system 2002-11-19 11:12 [Comm] read-only system Oleg Lukashin 2002-11-19 11:28 ` Alexander Lyubushkin @ 2002-11-19 13:50 ` Andrew Velikoredchanin 2002-11-19 15:00 ` Andrei M. Laptev 1 sibling, 1 reply; 18+ messages in thread From: Andrew Velikoredchanin @ 2002-11-19 13:50 UTC (permalink / raw) To: community Oleg Lukashin wrote: >Greetings! > > Есть желание перевести fs на рутере по максимуму на read-only. В >связи с этим возник вопрос: >В какие папки/файлы система с установленными DNS, Postfix, syslog, klog >система хочет иметь доступ на read-write. > /etc /tmp /var >Можно ли перенаправлять вывод syslog/klog на какую-то другую машину (варианты ?) > Легко! Средствами самого syslog - это встроенная возможность. Если надо перенаправлять на виндовую тачку, монтируй расшаренный ресурс в /var/log (перед стартом syslog) и вперед! :) ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] read-only system 2002-11-19 13:50 ` Andrew Velikoredchanin @ 2002-11-19 15:00 ` Andrei M. Laptev 2002-11-19 15:26 ` Re[2]: " ASA ` (2 more replies) 0 siblings, 3 replies; 18+ messages in thread From: Andrei M. Laptev @ 2002-11-19 15:00 UTC (permalink / raw) To: community > > Есть желание перевести fs на рутере по максимуму на read-only. В > >связи с этим возник вопрос: > >В какие папки/файлы система с установленными DNS, Postfix, syslog, klog > >система хочет иметь доступ на read-write. > > > /etc > /tmp > /var > А как же / , корневой раздел может быть RO ? Я вроде читал что нет. -- С уважением, Лаптев Андрей ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[2]: [Comm] read-only system 2002-11-19 15:00 ` Andrei M. Laptev @ 2002-11-19 15:26 ` ASA 2002-11-20 10:13 ` Andrei M. Laptev 2002-11-19 18:26 ` Andrew Velikoredchanin 2002-11-20 9:18 ` [Comm] " Artem K. Jouravsky 2 siblings, 1 reply; 18+ messages in thread From: ASA @ 2002-11-19 15:26 UTC (permalink / raw) To: Andrei M. Laptev Hello Andrei, Tuesday, November 19, 2002, 7:00:05 PM, you wrote: >> /etc >> /tmp >> /var >> AML> А как же / , корневой раздел может быть RO ? дак из-за этих вышеупомянутых каталогов. если их занести на отдельные fs, то корневой может быть RO AML> Я вроде читал что нет. где? -- Best regards, ASA mailto:llb@udm.ru ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] read-only system 2002-11-19 15:26 ` Re[2]: " ASA @ 2002-11-20 10:13 ` Andrei M. Laptev 2002-11-20 10:22 ` Re[4]: " ASA 2002-11-20 11:20 ` Re[2]: " Oleg Lukashin 0 siblings, 2 replies; 18+ messages in thread From: Andrei M. Laptev @ 2002-11-20 10:13 UTC (permalink / raw) To: community > AML> Я вроде читал что нет. > где? Долго вспоминал-искал нашел: http://www.botik.ru/~sizif/pcrouter/roroot.koi8.html ну и вообще www.botik.ru - там как раз и описывается решение, но у меня в памяти засело что просто так нельзя корень сделать RO, еще раз почитал там в основном проблемы с /etc в частности с mtab То есть в общем можно замонтировать / в read-only -- С уважением, Лаптев Андрей ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[4]: [Comm] read-only system 2002-11-20 10:13 ` Andrei M. Laptev @ 2002-11-20 10:22 ` ASA 2002-11-20 11:20 ` Re[2]: " Oleg Lukashin 1 sibling, 0 replies; 18+ messages in thread From: ASA @ 2002-11-20 10:22 UTC (permalink / raw) To: Andrei M. Laptev Hello Andrei, Wednesday, November 20, 2002, 2:13:56 PM, you wrote: AML> http://www.botik.ru/~sizif/pcrouter/roroot.koi8.html AML> ну и вообще www.botik.ru - там как раз и описывается решение, AML> но у меня в памяти засело что просто так нельзя корень сделать RO, AML> еще раз почитал там в основном проблемы с /etc в частности с mtab кстати, для embedded-систем можно залинковать /etc/mtab на /proc/mounts, а mount скомпилить так, чтобы он не юзал mtab AML> То есть в общем можно замонтировать / в read-only Во-во -- Best regards, ASA mailto:llb@udm.ru ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] read-only system 2002-11-20 10:13 ` Andrei M. Laptev 2002-11-20 10:22 ` Re[4]: " ASA @ 2002-11-20 11:20 ` Oleg Lukashin 1 sibling, 0 replies; 18+ messages in thread From: Oleg Lukashin @ 2002-11-20 11:20 UTC (permalink / raw) To: community * Andrei M. Laptev (aml@softex.ru) wrote: > > AML> Я вроде читал что нет. > > где? > Долго вспоминал-искал нашел: > http://www.botik.ru/~sizif/pcrouter/roroot.koi8.html > ну и вообще www.botik.ru - там как раз и описывается решение, > но у меня в памяти засело что просто так нельзя корень сделать RO, > еще раз почитал там в основном проблемы с /etc в частности с mtab > > То есть в общем можно замонтировать / в read-only Собственно, я сделал что хотел. Сейчас у меня разделы /var /dev /etc /home /root Имеют свое отображение в статике (read-only), и монтируются в память на rw, а корень сидит в read-only. Если надо что-то менять - грузимся с дискеты/cd и монтируем /dev/hda1 в одну из папок. Да, все это было нужно из-за того, что я поменял основной носитель на рутере на flash-card. Очень, знаете ли, долговечная машинка получилась. Сегодня-завтра я ее дострою и попробую поставить на боевое дежурство. Огромное спасибо всем за советы. > -- > С уважением, > Лаптев Андрей -- Best regards, Oleg Lukashin mailto:phd@rega.ru ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] read-only system 2002-11-19 15:00 ` Andrei M. Laptev 2002-11-19 15:26 ` Re[2]: " ASA @ 2002-11-19 18:26 ` Andrew Velikoredchanin 2002-11-20 9:18 ` [Comm] " Artem K. Jouravsky 2 siblings, 0 replies; 18+ messages in thread From: Andrew Velikoredchanin @ 2002-11-19 18:26 UTC (permalink / raw) To: community Andrei M. Laptev wrote: >>> Есть желание перевести fs на рутере по максимуму на read-only. В >>>связи с этим возник вопрос: >>>В какие папки/файлы система с установленными DNS, Postfix, syslog, klog >>>система хочет иметь доступ на read-write. >>> >>> >>> >>/etc >>/tmp >>/var >> >> >> >А как же / , корневой раздел может быть RO ? >Я вроде читал что нет. > > Может! Проверено на практике! ^ permalink raw reply [flat|nested] 18+ messages in thread
* [Comm] Re: read-only system 2002-11-19 15:00 ` Andrei M. Laptev 2002-11-19 15:26 ` Re[2]: " ASA 2002-11-19 18:26 ` Andrew Velikoredchanin @ 2002-11-20 9:18 ` Artem K. Jouravsky 2002-12-01 0:21 ` Dmitry V. Levin 2 siblings, 1 reply; 18+ messages in thread From: Artem K. Jouravsky @ 2002-11-20 9:18 UTC (permalink / raw) To: community On Tue, Nov 19, 2002 at 07:00:05PM +0400, Andrei M. Laptev wrote: > > > Есть желание перевести fs на рутере по максимуму на read-only. В > > >связи с этим возник вопрос: > > >В какие папки/файлы система с установленными DNS, Postfix, syslog, klog > > >система хочет иметь доступ на read-write. > > > > > /etc > > /tmp > > /var > > > А как же / , корневой раздел может быть RO ? > Я вроде читал что нет. Отлично может. Когда-то видел роутер-мечту, построенный на freebsd. * Всё было смонтировано RO, всё что требовало записи (/var, например) было смонтировано noexec. * mount был пропатчен, чтобы работать только в init 1, т.о. перемонтировать раздел становилось возможным только в single user * были убраны компиляторы, perl, вообще практически всё лишнее. Как было написано в сопроводительной записке: "Таким образом, потенциальному взломщику останутся только shell скрипты даже при получении доступа root" -- Best wishes, | ICQ 103399444 Artem K. Jouravsky, | JID ujo@jabber.ru iFirst Ltd, System Administrator. ----------------------- Ужин - при свечах, завтрак - при огнетушителях ! ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Re: read-only system 2002-11-20 9:18 ` [Comm] " Artem K. Jouravsky @ 2002-12-01 0:21 ` Dmitry V. Levin 2002-12-03 12:56 ` Alexey Tourbin 0 siblings, 1 reply; 18+ messages in thread From: Dmitry V. Levin @ 2002-12-01 0:21 UTC (permalink / raw) To: ALT Linux general discussion list [-- Attachment #1: Type: text/plain, Size: 1318 bytes --] On Wed, Nov 20, 2002 at 12:18:22PM +0300, Artem K. Jouravsky wrote: > > > > Есть желание перевести fs на рутере по максимуму на read-only. В > > > >связи с этим возник вопрос: > > > >В какие папки/файлы система с установленными DNS, Postfix, syslog, klog > > > >система хочет иметь доступ на read-write. > > > > > > > /etc > > > /tmp > > > /var > > > > > А как же / , корневой раздел может быть RO ? > > Я вроде читал что нет. > Отлично может. Когда-то видел роутер-мечту, построенный на freebsd. > * Всё было смонтировано RO, всё что требовало записи (/var, например) было > смонтировано noexec. > * mount был пропатчен, чтобы работать только в init 1, т.о. перемонтировать > раздел становилось возможным только в single user > * были убраны компиляторы, perl, вообще практически всё лишнее. Как было > написано в сопроводительной записке: "Таким образом, потенциальному > взломщику останутся только shell скрипты даже при получении доступа root" ... и возможность залить недостающий инструментарий по сети: $ cp -p /bin/ls ~/tmp/ $ chmod 400 ~/tmp/ls $ /lib/ld-linux.so.2 ~/tmp/ls / bin boot dev etc home lib mnt opt proc root sbin tmp usr var Так что в записке содержалось легко опрвержимое утверждение. P.S. Как вы думаете, почему я предпочитаю readonly chroot? -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 18+ messages in thread
* [Comm] Re: read-only system 2002-12-01 0:21 ` Dmitry V. Levin @ 2002-12-03 12:56 ` Alexey Tourbin 2002-12-08 0:17 ` Dmitry V. Levin 0 siblings, 1 reply; 18+ messages in thread From: Alexey Tourbin @ 2002-12-03 12:56 UTC (permalink / raw) To: ALT Linux general discussion list On Sun, Dec 01, 2002 at 03:21:07AM +0300, Dmitry V. Levin wrote: > > * Всё было смонтировано RO, всё что требовало записи (/var, например) было > > смонтировано noexec. > > * mount был пропатчен, чтобы работать только в init 1, т.о. перемонтировать > > раздел становилось возможным только в single user > > * были убраны компиляторы, perl, вообще практически всё лишнее. Как было > > написано в сопроводительной записке: "Таким образом, потенциальному > > взломщику останутся только shell скрипты даже при получении доступа root" > > ... и возможность залить недостающий инструментарий по сети: > $ cp -p /bin/ls ~/tmp/ > $ chmod 400 ~/tmp/ls > $ /lib/ld-linux.so.2 ~/tmp/ls / > bin boot dev etc home lib mnt opt proc root sbin tmp usr var > > Так что в записке содержалось легко опрвержимое утверждение. Можно чуть подробнее? Т.е. вы хотите сказать, что монтирование noexec по существу ничего не дает? > P.S. Как вы думаете, почему я предпочитаю readonly chroot? Потому что в чруте есть /lib/ld-linux.so.2? А можно ли с него снять chmod -x? Я просто плохо разбираюсь, как это всё подцепляется. > -- > ldv -- WBR, Alexey Tourbin "He is a sane man who can have tragedy BIOZAK Ltd., Russia in his heart and comedy in his head." --G.K.Chesterton ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] Re: read-only system 2002-12-03 12:56 ` Alexey Tourbin @ 2002-12-08 0:17 ` Dmitry V. Levin 0 siblings, 0 replies; 18+ messages in thread From: Dmitry V. Levin @ 2002-12-08 0:17 UTC (permalink / raw) To: ALT Linux general discussion list [-- Attachment #1: Type: text/plain, Size: 1500 bytes --] On Tue, Dec 03, 2002 at 03:56:39PM +0300, Alexey Tourbin wrote: > On Sun, Dec 01, 2002 at 03:21:07AM +0300, Dmitry V. Levin wrote: > > > * Всё было смонтировано RO, всё что требовало записи (/var, например) было > > > смонтировано noexec. > > > * mount был пропатчен, чтобы работать только в init 1, т.о. перемонтировать > > > раздел становилось возможным только в single user > > > * были убраны компиляторы, perl, вообще практически всё лишнее. Как было > > > написано в сопроводительной записке: "Таким образом, потенциальному > > > взломщику останутся только shell скрипты даже при получении доступа root" > > > > ... и возможность залить недостающий инструментарий по сети: > > $ cp -p /bin/ls ~/tmp/ > > $ chmod 400 ~/tmp/ls > > $ /lib/ld-linux.so.2 ~/tmp/ls / > > bin boot dev etc home lib mnt opt proc root sbin tmp usr var > > > > Так что в записке содержалось легко опрвержимое утверждение. > > Можно чуть подробнее? Т.е. вы хотите сказать, что монтирование noexec по > существу ничего не дает? Почему? Разница есть: 1. Не всегда dynamic loader доступен. 2. Таким образом нельзя запустить execute-only приложения. 3. Запущенные таким образом приложения не получают suid/sgid. > > P.S. Как вы думаете, почему я предпочитаю readonly chroot? > > Потому что в чруте есть /lib/ld-linux.so.2? Нет, потому что там его нет, и его там нельзя создать, равно как и все остальное. > А можно ли с него снять chmod -x? Тогда он будет никому не нужен. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 18+ messages in thread
end of thread, other threads:[~2002-12-08 0:17 UTC | newest] Thread overview: 18+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2002-11-19 11:12 [Comm] read-only system Oleg Lukashin 2002-11-19 11:28 ` Alexander Lyubushkin 2002-11-19 13:34 ` Andrey Vakatov 2002-11-19 13:53 ` Oleg Lukashin 2002-11-19 13:42 ` Andrey Orlov 2002-11-19 14:02 ` Oleg Lukashin 2002-11-19 14:14 ` Andrey Orlov 2002-11-19 13:50 ` Andrew Velikoredchanin 2002-11-19 15:00 ` Andrei M. Laptev 2002-11-19 15:26 ` Re[2]: " ASA 2002-11-20 10:13 ` Andrei M. Laptev 2002-11-20 10:22 ` Re[4]: " ASA 2002-11-20 11:20 ` Re[2]: " Oleg Lukashin 2002-11-19 18:26 ` Andrew Velikoredchanin 2002-11-20 9:18 ` [Comm] " Artem K. Jouravsky 2002-12-01 0:21 ` Dmitry V. Levin 2002-12-03 12:56 ` Alexey Tourbin 2002-12-08 0:17 ` Dmitry V. Levin
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git