© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Tue, 21 Jan 2003, Bjoern Engels wrote:
> Am Dienstag, 21. Januar 2003 11:42 schrieb Hannes Widmer:
>
> > Wie würde dies den gehn ?... am liebsten hätte ich das System auf CD
> > und meine Konfig auf Floppy damit ich bei einem Hack oder so nur das
> > System neu booten muss und da das System auf D währe, könnte daran
> > nicht's verändert werden.
>
> Hm, das ist an sich ja eine gute Idee, wird so aber nicht funktionieren-
> wenn Du aber haargenau das gleiche System wieder bootest, dann wird's
> doch mit Sicherheit wieder geknackt, Du mußt Dir schon eine Möglichkeit
> offenlassen, zu patchen. Außerdem: Du brauchst auf jeden Fall einige
> schreibbare Verzeichnisse/Partitionen: /var, /dev,
> /wo/deine/daten/liegen,...
>
chflags laesst sich nutzen, um Dateien auch fuer root nicht beliebig
aenderbar zu machen. Zusammen mit gesetztem securelevel in der
/etc/rc.conf (siehe /etc/defaults/rc.conf) kannst Du dann ziemlich sicher
sein, dass Du ein read-only-System hast.
Weils so umwerfend lang nicht ist, unten ein 39-Zeiler, um ein FreeBSD-3.4
(neuer geht's gerade nicht, aber so viel sollte sich da nicht geandert
haben) zu befestigen.
Wenn Du vorher
RICHTUNG="no"; export RICHTUNG machst, hebt das Skript die Befestigung
wieder auf - aber nur bei securelevel 0 - d.h. reboot und
Single-User-Mode, um zu aendern. Wenn Dein Hacker schon im Serverraum
steht, bad luck..
Dann kann man eigentlich auch alles ausser /var readonly mounten.
Nun, wie auch immer, wenn Du ungebetenen Besuch hattest, wird es Zeit zum
Plattenwechsel und Update.
Es gruesst
Peter
Hier das Skript:
#!/bin/sh
chflags ${RICHTUNG}schg /
chflags ${RICHTUNG}schg /.cshrc
chflags ${RICHTUNG}schg /.profile
chflags ${RICHTUNG}schg /COPYRIGHT
chflags -R ${RICHTUNG}schg /bin
chflags -R ${RICHTUNG}schg /boot
chflags -R ${RICHTUNG}schg /compat
chflags ${RICHTUNG}schg /cdrom
chflags ${RICHTUNG}schg /dist
chflags -R ${RICHTUNG}schg /etc
chflags ${RICHTUNG}schg /kernel
chflags ${RICHTUNG}schg /kernel.GENERIC
chflags -R ${RICHTUNG}schg /mnt
chflags -R ${RICHTUNG}schg /modules
chflags ${RICHTUNG}schg /root/.klogin
chflags ${RICHTUNG}schg /root/.cshrc
chflags ${RICHTUNG}schg /root/.login
chflags ${RICHTUNG}schg /root/.profile
chflags -R ${RICHTUNG}schg /sbin
chflags -R ${RICHTUNG}schg /stand
chflags -R ${RICHTUNG}sunlnk /usr
chflags -R ${RICHTUNG}schg /usr/bin
chflags -R ${RICHTUNG}schg /usr/compat
chflags -R ${RICHTUNG}schg /usr/games
chflags -R ${RICHTUNG}schg /usr/include
chflags -R ${RICHTUNG}schg /usr/lib
chflags -R ${RICHTUNG}schg /usr/libdata
chflags -R ${RICHTUNG}schg /usr/libexec
chflags -R ${RICHTUNG}schg /usr/local
chflags -R ${RICHTUNG}schg /usr/obj
chflags -R ${RICHTUNG}schg /usr/sbin
chflags -R ${RICHTUNG}schg /usr/share
chflags ${RICHTUNG}sunlnk /var
chflags ${RICHTUNG}sunlnk /var/*
chflags ${RICHTUNG}sunlnk /var/spool/*
chflags ${RICHTUNG}sappnd /var/log/cron
chflags ${RICHTUNG}sappnd /var/log/maillog
chflags ${RICHTUNG}sappnd /var/log/messages
chflags ${RICHTUNG}sappnd /var/log/wtmp
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 22 Jan 2003 - 02:45:30 CET