Montowanie systemów plików w trybie tylko do odczytu

Kiedy host bastionowy zostanie już skonfigurowany, nie powinien się zmieniać, więc należy zamontować jak najwięcej systemów plików w trybie tylko do odczytu. Ile plików zdołasz zabezpieczyć w ten sposób? Zależy to od wersji Uniksa oraz udostępnianych usług. Komputer, którego używasz jako rutera filtrującego pakiety, może działać nawet wtedy, gdy zabezpieczysz całą jego przestrzeń dyskową. Komputer, który świadczy usługi pocztowe, będzie potrzebował przynajmniej miejsca na pliki tymczasowe.

W hoście usługowym będziesz musiał przeznaczyć choć odrobinę zapisywalnej przestrzeni dyskowej na pliki tymczasowe, dzienniki systemowe i kolejkę pocztową. Mógłbyś wykorzystać w tym celu RAMdysk, ale najpierw sprawdź, czy twój system operacyjny go obsługuje, czy masz wystarczającą ilość pamięci RAM i czy

możesz sobie pozwolić na utratę zawartości RAMdysku (na przykład poczty w drodze od hostów wewnętrznych do Internetu) podczas restartu komputera. W większości wersji Uniksa będziesz musiał również udostępnić zapisywalną przestrzeń dyskową na stronicowanie pamięci albo wyłączyć stronicowanie. Wiele wersji Uniksa nie pozwala na wyłączenie stronicowania zwykle umożliwiają jednak użycie w tym celu oddzielnego dysku, który możesz bez obaw pozostawić zapisywalnym. Jeśli korzystasz z RAMdysku, zużycie pamięci okaże się zapewne na tyle duże, że będziesz potrzebował przestrzeni wymiany.

Systemy wywodzące się od BSD 4.4Lite (na przykład obecne wydania NetBSD, FreeBSD oraz BSDI) mają nowy atrybut „niezmienności”, który można ustawić dla każdego pliku z osobna. Jeśli plik jest oznaczony jako „niezmienny” (immutable), nie może zostać zmodyfikowany nawet przez roota, chyba że system działa w trybie jednego użytkownika. Jeśli twój system operacyjny udostępnia taką funkcję, użyj jej do zabezpieczenia programów i plików konfiguracyjnych przed ingerencją napastnika. (Zalecamy takie rozwiązanie tylko wtedy, gdy nie możesz skorzystać ze sprzętowego zabezpieczenia przed zapisem, albo jako dodatkową warstwę bezpieczeństwa. Ponieważ mechanizm ten jest realizowany przez oprogramowanie, nie ma gwarancji, że napastnik nie znajdzie na niego sposobu).

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>