セキュリティの観点から/ bootパーティションに不変ビットを設定するとどうなりますか?うん実現可能-i
/bootの下のすべての項目に不変ビット()を設定しますか?システムセキュリティを強化するか減少させるか?
私はさらに一歩進み、他のような他の「貴重な」ファイルに対しても/etc/bind/named.conf
同じことをしたいと思います。
答え1
長い話を短く
特定のレビュー要件がない場合は、これを行わないでください。一般に、これは貴重なものよりも多くの問題です。
説明する
/bootへの書き込みアクセス権が必要な唯一のアカウントはrootです。ルートアクセス権があれば、不変ビットの設定を解除し、必要に応じてほぼすべての操作を実行できます。
/boot読み取り専用マウント、不変ビット設定、または同様の操作の主な欠点は、カーネルまたはブートローダが更新されるたびにこれらの設定を元に戻す必要があることです。これは、意味のあるセキュリティを提供するのではなく、障害物を引き起こす可能性が高いです。
代替
あなたが何であるかによって異なります本物これを試してみると、いくつかの選択肢があります。たとえば、
- ファイルシステムの破損が懸念される場合は、/bootがほとんど記録されない別のパーティションにあることを確認することをお勧めします。
- /bootの内容を定期的に確認してください。引き継ぎ鉄線またはデプサムこれは、変調が懸念される場合、特に別々の読み取り専用媒体に格納されたハッシュを比較する際の優れたセキュリティ対策です。
- /boot を読み取り専用でマウントし、パッケージ マネージャーが更新中に読み書きでマウントできるようにすることが役に立ちます。
Aptの更新中に読み取り専用パーティションを再マウントする
最終的な代替案の例として、/etc/fstab で /boot を読み取り専用に設定した後、Debian ベースのシステムの /etc/apt/apt.conf に次のような内容を追加できます。
DPkg {
Pre-Invoke { "mount -o remount,rw /boot"; };
Post-Invoke {
"test ${NO_APT_REMOUNT:-no} = yes ||
mount -o remount,ro /boot ||
true";
};
};
これにより、/boot が読み取り専用のままになります (更新中を除く)。明らかに、適切なパッケージマネージャを使用しない場合、または上記の方法が他の理由で機能しない場合は、別の作業を実行する必要があります。