GNU/Linux >> Tutoriels Linux >  >> Debian

Debian – L'effet de la définition d'un bit immuable sur la partition /boot ?

Fermé . Cette question a besoin de détails ou de clarté. Il n'accepte pas de réponses actuellement.

Vous voulez améliorer cette question ? Ajoutez des détails et clarifiez le problème en modifiant ce message.

Fermé il y a 7 ans.


Améliorer cette question

Quel est l'effet de la définition d'un bit immuable sur la partition /boot du point de vue de la sécurité.
est-ce conseillé pour définir le bit immuable (-i ) à tout sous /boot ? Cela améliorera-t-il ou dégradera-t-il la sécurité du système ?

Je voudrais aller plus loin et faire de même pour d'autres fichiers "précieux" comme /etc/bind/named.conf , etc.

Réponse acceptée :

TL;DR

Ne le faites pas, sauf si vous avez des exigences particulières en matière d'audit. C'est généralement plus de problèmes que ça n'en vaut la peine.

Explication

Le seul compte qui devrait avoir un accès en écriture à /boot est root. Si vous avez root, vous pouvez désactiver les bits immuables et faire à peu près ce que vous voulez de toute façon.

Le principal inconvénient du montage/démarrage en lecture seule, de la définition de bits immuables ou de quelque chose de similaire est que vous devrez annuler ces paramètres chaque fois que vous mettrez à jour votre noyau ou votre chargeur de démarrage. Cela est beaucoup plus susceptible de vous faire trébucher que d'offrir une sécurité significative.

Alternatives

Selon ce que vous êtes réellement essayer de faire, vous pouvez avoir des alternatives. Par exemple :

  1. Assurez-vous que /boot se trouve sur une partition distincte sur laquelle il est rarement écrit est une bonne idée si vous craignez la corruption du système de fichiers.
  2. Valider périodiquement le contenu de /boot avec Tripwire ou debsums, en particulier lors de la comparaison avec des hachages stockés sur des supports en lecture seule distincts, est une bonne mesure de sécurité si vous craignez une falsification.
  3. Monter /boot en lecture seule, puis demander à votre gestionnaire de packages de le monter en lecture-écriture pendant les mises à jour, peut être utile.

Remonter les partitions en lecture seule pendant les mises à jour Apt

Comme exemple de dernière alternative, vous pouvez configurer /boot en lecture seule dans votre /etc/fstab, puis ajouter quelque chose de similaire à ce qui suit à votre /etc/apt/apt.conf sur les systèmes basés sur Debian :

DPkg {
    Pre-Invoke { "mount -o remount,rw /boot"; };
    Post-Invoke {
        "test ${NO_APT_REMOUNT:-no} = yes ||
        mount -o remount,ro /boot ||
        true";
    };
};

Cela gardera /boot en lecture seule sauf pendant les mises à jour. Évidemment, vous devrez faire quelque chose de différent si vous n'utilisez pas le gestionnaire de paquets apt, ou si ce qui précède ne fonctionne pas pour une autre raison.

Connexe :Comment déplacer 100 fichiers d'un dossier en contenant des milliers ?
Debian

  1. Mise à niveau de GlusterFS de 3.2 (Debian) à 3.4 pour Debian Wheezy

  2. Comment Linux gère-t-il plusieurs séparateurs de chemins consécutifs (/home////nom d'utilisateur///fichier) ?

  3. La partition /boot vraiment pour ?

  4. Debian – Déplacer /var, /home vers une partition séparée ?

  5. Debian - Grub2 prend-il en charge /boot sur Lvm sur Md-raid ?

Configuration de l'environnement de développement python virtualenv sur Debian Linux

Configurer un serveur et un client NFS sur Debian Wheezy

Comment augmenter la taille de la partition de démarrage dans Rocky Linux 8 / CentOS

Debian – Forcer E2fsck sur /var à chaque démarrage ?

Une partition /boot est-elle toujours nécessaire ?

Quelle est la taille recommandée pour une partition Linux /boot ?