Re: защита от записи куда бы то ни было
В сообщении от Понедельник, 13-авг-2007 Dmitry E. Oboukhov написал(a): У меня с таким вот подходом проблемы. /usr примонтирован с ro. В конфигах APT указано, что перед установкой софта делать mount -oremount,rw /usr, а после, соответственно mount -oremount,ro /usr . Так вот оочень часто случается, что вторая команда падает с /usr busy. Последующие вызовы этой же команды руками тоже не удаются. И я никак не могу понять, кто виноват и что делать? :( Ctrl-C при вызове apt не жмать? скорее тогда уж делать sync перед возвратом в ro -- WBR, Eugene V. Kravtsoff || EK01-UANIC, KRAV-RIPE JID: [EMAIL PROTECTED], ICQ: 930-128-41 Mobile: 8 044 592 01 67 MSN: [EMAIL PROTECTED], LJ : lj-user=ekrava
Re: защита от записи куда бы то ни было
Без применения спецсредств приходит на ум только chroot с подмонтированными каталогами в ro вперемешку с --bind на rw. Имеется ввиду NFS в ro, при сервере на этой же машине. Но уж больно кривой костыль получается. Может, кто пользуется таки спецсредствами и ткнет пальцем в конкретное место руководства или сразу команду/строчку_конфига. -- Best regards, Aleksey Cheusov. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: защита от записи куда бы то ни было
On 8/10/07, Aleksey Cheusov [EMAIL PROTECTED] wrote: а когда тебе нужно например обновить софт, делаешь mount -o remount,rw изменяешь что надо и новый remount с опцией ro Нет, так не пойдет. Вопрос в том, чтобы возможности записи у процесса не было В ПРИНЦИПЕ, т.е. никаких mount -o remount,rw /usr и тому подобное. Прописывать ro в fstab тоже не пойдет по очевидной причине. 2MG: LD_PRELOAD - тоже не метод. unset LD_PRELOAD Без применения спецсредств приходит на ум только chroot с подмонтированными каталогами в ro вперемешку с --bind на rw. Но уж больно кривой костыль получается. Вы бы описали задачу подробнее, а то можно такого напридумовать, вплоть до размещения /usr на CD-R. -- С уважением, Константин Матюхин
Re: защита от записи куда бы то ни было
Twas brillig at 12:44:43 10.08.2007 UTC+03 when Aleksey Cheusov did gyre and gimble: AC 2MG: AC LD_PRELOAD - тоже не метод. unset LD_PRELOAD Поздно делать unset, runtime-линкер уже загрузил библиотеку :) Или имеется в виду unset/fork/exec? Да, именно. -- Best regards, Aleksey Cheusov. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: защита от записи куда бы то ни было
а когда тебе нужно например обновить софт, делаешь mount -o remount,rw изменяешь что надо и новый remount с опцией ro Нет, так не пойдет. Вопрос в том, чтобы возможности записи у процесса не было В ПРИНЦИПЕ, т.е. никаких mount -o remount,rw /usr и тому подобное. Прописывать ro в fstab тоже не пойдет по очевидной причине. 2MG: LD_PRELOAD - тоже не метод. unset LD_PRELOAD Без применения спецсредств приходит на ум только chroot с подмонтированными каталогами в ro вперемешку с --bind на rw. Но уж больно кривой костыль получается. -- Best regards, Aleksey Cheusov. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: защита от записи куда бы то ни было
В сообщении от Пятница 10 августа 2007 15:10 Alexander GQ Gerasiov написал(a): Очень интересно. Что помешает руту поменять эту строчку и перемонтировать файловую систему. В поставленной задаче выход один - запрещать на аппаратном уровне. Неправда. Есть еще политики SELinux. Насколько я понимаю, указанная задача должна ими решаться на раз. Нет доказательств, что софтверное решение не может быть обойдено софтверным путем. А вот что может быть обойдено, примеров сколько угодно. Если нужно гарантированное решение, то только на аппаратном уровне.
Re: защита от записи куда бы то ни было
В сообщении от Пятница 10 августа 2007 14:11 Konstantin Matyukhin написал(a): Очень интересно. Что помешает руту поменять эту строчку и перемонтировать файловую систему. В поставленной задаче выход один - запрещать на аппаратном уровне. Вам повезло, вы таки углядели постановку задачи. А то ведь можно и до RSBAС с SELinux-ом дойти. В частных случаях можно и на программном уровне решить - например, реверс-прокси pound после старта вообще доступа к жесткому диску не имеет. Меня лично такое решение вполне устраивает, поскольку pound жестко контролирует корректность запросов и плохие просто не отдаст веб-серверу. P.S. Безопасности дебиана по умолчанию хватает почти всегда, наверняка есть более важные проблемы, кроме как заниматься разными экзерсисами. Например, приучить людей, знающих рутовый пароль, не писать его на стикере на мониторе _вместе_ со словом root и адресом хоста. Писать все равно будут :-) так пусть хоть не пишут, к чему пароль.
Re: защита от записи куда бы то ни было
в конкретное место руководства или сразу команду/строчку_конфига.
Очень интересно. Что помешает руту поменять эту строчку и перемонтировать
файловую систему. В поставленной задаче выход один - запрещать на аппаратном
уровне.
Вам повезло, вы таки углядели постановку задачи. А то ведь можно
и до RSBAС с SELinux-ом дойти.
Вот-вот-вот! Можно вот для чего-нибудь из этой пары строчку конфига или
опции какой-нибудь команды? ;)
Кстати, есть ли в Линуксе аналог {Open,Net}BSD-шного systrace?
Что есть, так наверняка. Как зовется?
--
Best regards, Aleksey Cheusov.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: защита от записи куда бы то ни было
Без применения спецсредств приходит на ум только chroot
с подмонтированными каталогами в ro вперемешку с --bind на rw.
Но уж больно кривой костыль получается.
Вы бы описали задачу подробнее, а то можно такого напридумовать, вплоть до
размещения /usr на CD-R.
запустить процесс от root-а, длф которого накладываются следующие ограничения
(без возможности их снять, конечно):
1) запретить запись в /usr
2) РАЗРЕШИТЬ запись в /usr/local
3) запретить запись в /etc
4) запретить запись в /var
5) РАЗРЕШИТЬ запись в /var/{dir1,dir2,dir3}
...
Примерно, так. Еще подробнее не смогу.
В *BSD для этого есть chroot и mount -t null, который в отличие от
линуксового mount --bind понимает опцию ro.
ПРОСТЫХ аналогов на горизоте не видно :(
Не ясно, умеет ли то, что нужно selinux, но он больше похож на пушку
для моей задачи-воробья.
chroot + локальный локальный NFS + ro - тоже костыль
(по сравнениею с mount -t null).
--
Best regards, Aleksey Cheusov.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: защита от записи куда бы то ни было
В сообщении от Пятница 10 августа 2007 13:27 Konstantin Matyukhin написал(a): Монтируйте read-only, куда уж проще. Использовать носитель без возможности записи. Например, флэшка с аппаратным переключателем защита от записи.
Re: защита от записи куда бы то ни было
Не подскажет ли кто способ защитить каталог от записи определенным процессом? Т.е., запуская процесс ОТ ROOT-а я хочу быть уверен в том, что он не запишет/сотрет ничего в, скажем, /usr, /etc и так далее, как бы он не старался. NOTE: процесс запущен от root-а! Отдельно спасибо за ПРОСТОЙ вариант. Монтируйте read-only, куда уж проще. -- С уважением, Константин Матюхин
защита от записи куда бы то ни было
Не подскажет ли кто способ защитить каталог от записи определенным процессом? Т.е., запуская процесс ОТ ROOT-а я хочу быть уверен в том, что он не запишет/сотрет ничего в, скажем, /usr, /etc и так далее, как бы он не старался. NOTE: процесс запущен от root-а! Отдельно спасибо за ПРОСТОЙ вариант. -- Best regards, Aleksey Cheusov. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: защита от записи куда бы то ни было
В сообщении от Пятница 10 августа 2007 13:54 Aleksey Cheusov написал(a): Может, кто пользуется таки спецсредствами и ткнет пальцем в конкретное место руководства или сразу команду/строчку_конфига. Очень интересно. Что помешает руту поменять эту строчку и перемонтировать файловую систему. В поставленной задаче выход один - запрещать на аппаратном уровне.
Re: защита от записи куда бы то ни было
On 8/10/07, Pechnikov Alexey [EMAIL PROTECTED] wrote: В сообщении от Пятница 10 августа 2007 13:54 Aleksey Cheusov написал(a): Может, кто пользуется таки спецсредствами и ткнет пальцем в конкретное место руководства или сразу команду/строчку_конфига. Очень интересно. Что помешает руту поменять эту строчку и перемонтировать файловую систему. В поставленной задаче выход один - запрещать на аппаратном уровне. Вам повезло, вы таки углядели постановку задачи. А то ведь можно и до RSBAС с SELinux-ом дойти. -- С уважением, Константин Матюхин
Re: защита от записи куда бы то ни было
У Птн, 2007-08-10 у 13:20 +0300, Aleksey Cheusov пише:
в конкретное место руководства или сразу команду/строчку_конфига.
Очень интересно. Что помешает руту поменять эту строчку и перемонтировать
файловую систему. В поставленной задаче выход один - запрещать на
аппаратном
уровне.
Вам повезло, вы таки углядели постановку задачи. А то ведь можно
и до RSBAС с SELinux-ом дойти.
Вот-вот-вот! Можно вот для чего-нибудь из этой пары строчку конфига или
опции какой-нибудь команды? ;)
Кстати, есть ли в Линуксе аналог {Open,Net}BSD-шного systrace?
Что есть, так наверняка. Как зовется?
Увы, под рукой только Free, где man systrace отсутствует (как и сам
systrace). Есл это трассировка процесса на вопрос какие дергает
сисколлы / библиотеки, то strace / ltrace. Если нет -- то наверное
стоит сказать что оно делает в BSD.
--
Alexander Vlasov
ZULU-UANIC
JID: zulu at jabber.kiev.ua
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: защита от записи куда бы то ни было
Aleksey Cheusov wrote: Нет, так не пойдет. Вопрос в том, чтобы возможности записи у процесса не было В ПРИНЦИПЕ, т.е. никаких mount -o remount,rw /usr Есть диски с механическим тумблером read-only. Дешевый вариант - флешка с таким же локом - когда на свой mp3 плейер пытался музыку залить - никак не мог в режиме записи смонтрировать - оказалось что тумблер который лочит кнопки (чтоб в кармане не нажимались) лочит и файловую систему тоже - очень одобно. mp3 плейер - самый дешевый Pengo -- Sincerely, Nicholas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: защита от записи куда бы то ни было
Кстати, есть ли в Линуксе аналог {Open,Net}BSD-шного systrace?
Что есть, так наверняка. Как зовется?
Увы, под рукой только Free, где man systrace отсутствует (как и сам
systrace). Есл это трассировка процесса на вопрос какие дергает
сисколлы / библиотеки, то strace / ltrace. Если нет -- то наверное
стоит сказать что оно делает в BSD.
Не совсем трассировка.
http://netbsd.gw.com/cgi-bin/man-cgi?systrace++NetBSD-current
В общем, разрешилка/запретилка на сисколы, да.
Разрешение и запрет на основании параметров, например пути к файлу.
Смотри секцию Examples:
Что-то подобное долно быть и в Линуксе по идее.
--
Best regards, Aleksey Cheusov.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: защита от записи куда бы то ни было
На Fri, 10 Aug 2007 12:25:20 +0300 Aleksey Cheusov [EMAIL PROTECTED] записано: Не подскажет ли кто способ защитить каталог от записи определенным процессом? Т.е., запуская процесс ОТ ROOT-а я хочу быть уверен в том, что он не запишет/сотрет ничего в, скажем, /usr, /etc и так далее, как бы он не старался. NOTE: процесс запущен от root-а! Отдельно спасибо за ПРОСТОЙ вариант. SELinux - очень не просто, особенно с ходу, А можно с ходу? С тыканьем морды лица прямо в howto для чайников или прямо в чужой готовый конфиг в качестве примера ? ;) зато будет настоящий ТРУЪ без бубнов и компакт-дисков. настоящий тру не надо, надо минимальными усилиями, поскольку 99% функциональности selinux-а мне наверняка не нужны. -- Best regards, Aleksey Cheusov. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: защита от записи куда бы то ни было
В сообщении от 10 Август 2007 13:27 Mikhail Gusarov написал(a): Twas brillig at 12:25:20 10.08.2007 UTC+03 when Aleksey Cheusov did gyre and gimble: AC Не подскажет ли кто способ защитить каталог от записи определенным AC процессом? Совсем простой вариант - тривиальная LD_PRELOAD-библиотека с подменой unlink/write/mmap etc. Особенно ценно, если бинарь собран статически :) Или напрямую дергает системные вызовы. -- Макс -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
