web-dev-qa-db-ja.com

/ bootパーティションに不変ビットを設定するとどのような影響がありますか

セキュリティの観点から、/ bootパーティションに不変ビットを設定するとどのような影響がありますか。不変ビット(-i)を/ bootの下のすべてに設定するのは推奨ですか?システムのセキュリティを強化または低下させますか?

さらに進んで、/etc/bind/named.confなどの他の「貴重な」ファイルについても同じことをしたいと思います。

4
Nishan

TL; DR

特別な監査要件がない限り、これを行わないでください。それは一般的にそれが価値があるよりも厄介です。

説明

/ bootへの書き込みアクセス権を持つ必要がある唯一のアカウントはrootです。ルートがある場合は、不変ビットの設定を解除して、とにかくやりたいことをほぼ実行できます。

/ boot読み取り専用のマウント、不変ビットの設定、または同様のものの主な欠点は、カーネルまたはブートローダーを更新するたびにこれらの設定を元に戻す必要があることです。これは、意味のあるセキュリティを提供するよりも、つまずく可能性がはるかに高くなります。

代替案

あなたが本当にしようとしていることに応じて、いくつかの選択肢があるかもしれません。例えば:

  1. ファイルシステムの破損が心配な場合は、/ bootがほとんど書き込まれない別のパーティションにあることを確認することをお勧めします。
  2. / bootの内容を Tripwire または debsums で定期的に検証することは、特に個別の読み取り専用メディアに保存されているハッシュと比較する場合に、心配している場合の優れたセキュリティ対策です。改ざん。
  3. / bootを読み取り専用でマウントし、更新中にパッケージマネージャーに読み取り/書き込みでマウントさせると便利な場合があります。

Apt更新中の読み取り専用パーティションの再マウント

最後の方法の例として、/ etc/fstabで/ boot読み取り専用を構成してから、Debianベースのシステムの/etc/apt/apt.confに次のようなものを追加します。

DPkg {
    Pre-Invoke { "mount -o remount,rw /boot"; };
    Post-Invoke {
        "test ${NO_APT_REMOUNT:-no} = yes ||
        mount -o remount,ro /boot ||
        true";
    };
};

これにより、更新中を除いて/ bootが読み取り専用になります。明らかに、aptパッケージマネージャーを使用していない場合、または上記が他の理由で機能しない場合は、別のことを行う必要があります。

11
CodeGnome