GNU/Linux >> Tutoriales Linux >  >> Debian

Debian:¿el efecto de establecer un bit inmutable en la partición /boot?

Cerrado . Esta pregunta necesita detalles o claridad. Actualmente no está aceptando respuestas.

¿Quieres mejorar esta pregunta? Agrega detalles y aclara el problema editando esta publicación.

Cerrado hace 7 años.


Mejorar esta pregunta

¿Cuál es el efecto de configurar un bit inmutable en la partición /boot con perspectiva de seguridad?
¿Es recomendable? para establecer el bit inmutable (-i ) a todo lo que está debajo de /boot? ¿Mejorará o degradará la seguridad del sistema?

Me gustaría ir más allá y hacer lo mismo con otros archivos "preciosos" como /etc/bind/named.conf , etc.

Respuesta aceptada:

TL;DR

No haga esto a menos que tenga requisitos de auditoría peculiares. Por lo general, es más problemático de lo que vale.

Explicación

La única cuenta que debería tener acceso de escritura a /boot es la raíz. Si tiene root, puede desactivar bits inmutables y hacer lo que quiera de todos modos.

La principal desventaja de montar /boot de solo lectura, configurar bits inmutables o algo similar es que deberá deshacer esa configuración cada vez que actualice su kernel o el cargador de arranque. Es mucho más probable que esto lo haga tropezar que ofrecer una seguridad significativa.

Alternativas

Dependiendo de lo que seas realmente tratando de hacer, es posible que tenga algunas alternativas. Por ejemplo:

  1. Asegúrese de que /boot esté en una partición separada en la que rara vez se escriba es una buena idea si le preocupa la corrupción del sistema de archivos.
  2. Validar periódicamente el contenido de /boot con Tripwire o debsums, especialmente cuando se compara con hashes almacenados en medios separados de solo lectura, es una buena medida de seguridad si le preocupa la manipulación.
  3. Puede ser útil montar /boot de solo lectura y luego hacer que su administrador de paquetes lo monte en lectura y escritura durante las actualizaciones.

Volver a montar particiones de solo lectura durante las actualizaciones de Apt

Como ejemplo, la última alternativa, puede configurar /boot de solo lectura en su /etc/fstab, luego agregar algo similar a lo siguiente a su /etc/apt/apt.conf en sistemas basados ​​en Debian:

DPkg {
    Pre-Invoke { "mount -o remount,rw /boot"; };
    Post-Invoke {
        "test ${NO_APT_REMOUNT:-no} = yes ||
        mount -o remount,ro /boot ||
        true";
    };
};

Esto mantendrá /boot de solo lectura, excepto durante las actualizaciones. Obviamente, deberá hacer algo diferente si no está utilizando el administrador de paquetes apt, o si lo anterior no funciona por alguna otra razón.

Relacionado:¿Cómo mover 100 archivos de una carpeta que contiene miles?
Debian

  1. Debian – ¿Forzar E2fsck en /var en cada arranque?

  2. Debian:¿Grub2 es compatible con /boot en Lvm en Md-raid?

  3. Ampliar el tamaño de la partición /boot en el sistema de archivos XFS (CentOS/RHEL 7)

  4. Amplíe el tamaño de la partición /boot en un entorno virtualizado (CentOS/RHEL 6)

  5. ¿Cuándo debo usar /dev/shm/ y cuándo debo usar /tmp/?

Configuración del entorno de desarrollo de python virtualenv en Debian Linux

Configuración de un servidor y cliente NFS en Debian Wheezy

Cómo aumentar el tamaño de la partición de arranque en Rocky Linux 8 / CentOS

Aumentar el tamaño de tmpDSK (/tmp)

¿Por qué se recomienda una partición de arranque ext2 de 100 MB para Linux?

¿Es siempre necesaria una partición /boot?