GNU/Linux >> Linux の 問題 >  >> Debian

Debian – / bootパーティションに不変ビットを設定することの影響?

閉鎖 。この質問には詳細または明確さが必要です。現在、回答を受け付けていません。

この質問を改善したいですか? この投稿を編集して、詳細を追加し、問題を明確にしてください。

7年前に閉鎖されました。


この質問を改善する

セキュリティの観点から、/bootパーティションに不変ビットを設定するとどのような影響がありますか。
推奨 不変ビットを設定するには(-i )/ bootの下のすべてに?システムのセキュリティを強化または低下させますか?

さらに進んで、/etc/bind/named.confのような他の「貴重な」ファイルについても同じことをしたいと思います。 、など。

承認された回答:

TL; DR

特別な監査要件がない限り、これを行わないでください。一般的に、それは価値があるよりも厄介です。

説明

/bootへの書き込みアクセス権を持つ必要がある唯一のアカウントはrootです。ルートがある場合は、不変ビットの設定を解除して、とにかくやりたいことをほぼ実行できます。

/ boot読み取り専用のマウント、不変ビットの設定、または同様のものの主な欠点は、カーネルまたはブートローダーを更新するたびにこれらの設定を元に戻す必要があることです。これは、意味のあるセキュリティを提供するよりも、つまずく可能性がはるかに高くなります。

代替案

あなたが何であるかに応じて本当に やろうとすると、いくつかの選択肢があるかもしれません。例:

  1. ファイルシステムの破損が心配な場合は、/bootがほとんど書き込まれない別のパーティションにあることを確認することをお勧めします。
  2. / bootの内容をTripwireまたはdebsumで定期的に検証することは、特に個別の読み取り専用メディアに保存されているハッシュと比較する場合に、改ざんが心配な場合の優れたセキュリティ対策です。
  3. / bootを読み取り専用でマウントしてから、更新中にパッケージマネージャーに読み取り/書き込みでマウントさせると便利な場合があります。

Apt更新中の読み取り専用パーティションの再マウント

最後の方法の例として、/ etc /fstabで/boot読み取り専用を設定してから、Debianベースのシステムの/etc/apt/apt.confに次のようなものを追加します。

DPkg {
    Pre-Invoke { "mount -o remount,rw /boot"; };
    Post-Invoke {
        "test ${NO_APT_REMOUNT:-no} = yes ||
        mount -o remount,ro /boot ||
        true";
    };
};

これにより、更新中を除いて/bootが読み取り専用になります。明らかに、aptパッケージマネージャーを使用していない場合、または上記が他の理由で機能しない場合は、別のことを行う必要があります。

関連:数千を含むフォルダから100のファイルを移動するにはどうすればよいですか?
Debian

  1. Linuxは複数の連続したパスセパレーター(/ home //// username /// file)をどのように処理しますか?

  2. Debian –Grub2はMd-raidのLvmで/bootをサポートしていますか?

  3. tmpDSKのサイズを大きくする(/ tmp)

  1. XFS ファイルシステム (CentOS/RHEL 7) で /boot パーティションのサイズを拡張する

  2. 仮想化環境 (CentOS/RHEL 6) で /boot パーティションのサイズを拡張する

  3. /dev/shm/ と /tmp/ はいつ使用する必要がありますか?

  1. ブート パーティションのサイズ変更

  2. Linux で 100MB の ext2 ブート パーティションが推奨されるのはなぜですか?

  3. /boot パーティションは常に必要ですか?