セキュリティの観点から、/ bootパーティションに不変ビットを設定するとどのような影響がありますか。不変ビット(-i
)を/ bootの下のすべてに設定するのは推奨ですか?システムのセキュリティを強化または低下させますか?
さらに進んで、/etc/bind/named.conf
などの他の「貴重な」ファイルについても同じことをしたいと思います。
特別な監査要件がない限り、これを行わないでください。それは一般的にそれが価値があるよりも厄介です。
/ bootへの書き込みアクセス権を持つ必要がある唯一のアカウントはrootです。ルートがある場合は、不変ビットの設定を解除して、とにかくやりたいことをほぼ実行できます。
/ boot読み取り専用のマウント、不変ビットの設定、または同様のものの主な欠点は、カーネルまたはブートローダーを更新するたびにこれらの設定を元に戻す必要があることです。これは、意味のあるセキュリティを提供するよりも、つまずく可能性がはるかに高くなります。
あなたが本当にしようとしていることに応じて、いくつかの選択肢があるかもしれません。例えば:
最後の方法の例として、/ etc/fstabで/ boot読み取り専用を構成してから、Debianベースのシステムの/etc/apt/apt.confに次のようなものを追加します。
DPkg {
Pre-Invoke { "mount -o remount,rw /boot"; };
Post-Invoke {
"test ${NO_APT_REMOUNT:-no} = yes ||
mount -o remount,ro /boot ||
true";
};
};
これにより、更新中を除いて/ bootが読み取り専用になります。明らかに、aptパッケージマネージャーを使用していない場合、または上記が他の理由で機能しない場合は、別のことを行う必要があります。