Renato Salles wrote: >On Mon, 04 Mar 2002 10:14:19 -0300 >Informatica - SHHSJC <[EMAIL PROTECTED]> wrote: > >>Pessoal, >> >>Particionei o hd em /, /var, /home e swap. >>Apaguei o /tmp e criei um link do /tmp para /var/temp para nao precisar >>gravar nada no / >>Mudei o fstab para que o / fosse montado em RO mas nao adiantou, >>continuava montando em RW >>Descobri onde na inicializacao, era remontado o / como RW e comentei >>esta linha >>No final, ao executar o comando mount, aparecia que o / estava montado >>em RO, mas continuo conseguindo gravar arquivos no filesystem como root; >> >N�o � bem por a�! > >Como � que o teu sistema vai criar soquetes, linkar os processos, gerar logs de >sistema num /RO? >Imposs�vel. >Um firewall bem montado e configurado deve ajudar. >Fui! > Bem, foi pensando em tornar possivel este tipo de coisa que eu deixei o /var, /home e /tmp em particoes que seriam RW. Ja configurei um firewall e um proxy, se bem configurado ainda nao sei, foi a minha "primeira vez" :). O que queria era aumentar a seguranca da maquina que faz o papel de firewall e tambem e usada para navegacao. Por motivos administrativos nao consegui colocar uma maquina so para firewall aqui, a diretoria preferiu separar a rede do speedy da rede interna, entao, as maquinas conectadas na internet sao para uso exclusivo na net, ai nao acharam tao essencial um firewall dedicado.
Mas mesmo com firewall dedicado, esta ideia ainda me parece interessante, deixar o / como RO nao impediria apenas ataques mas tambem problemas com o SO, a chance de danos seria bem menor, futuramente pretendo implantar linux em postos isolados que temos em alguns hospitais e deixar a maquina do usuario quase a prova de falhas seria muito bom. Quando der qualquer pane, basta dar um boot e comecar de novo, com o sistema em RO e apenas arquivos temporarios ou logs em RW, imagino que fica muito mais robusto. estas maquinas nao serao "usadas", a unica finalidade delas sera fazer uma conexao via ssh com a nossa rede central. Uma das proclamadas vantagens dos *nix sobre o win9x e que nos *nix bem configurados, o usuario dificulmente danificavam o SO por conta propria devido as protecoes dos arquivos, a melhor chance do usuario era o botao AFT. Eu queria achar uma forma de "inutilizar" o botao AFT deixando tudo ( exceto area para logs e arquivos temporarios ) como RO, ai nao tem ( muito ) problema um engracadinho invadindo a maquina ou um usuario desastrado ou desesperado apelando para a "solucao final". Josinei Assinantes em 05/03/2002: 2250 Mensagens recebidas desde 07/01/1999: 157126 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
