© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hallo,
On Wed, 22 Jan 2003, Udo Erdelhoff wrote:
> On Wed, Jan 22, 2003 at 09:11:42PM +0100, Christian Lackas wrote:
> > du musst ja alle Dateien schützen, die beim Bootprozess ausgeführt
> > werden, bis der securelevel von /etc/rc erhöht wird. Vorher werden ja
> > z.B. noch /etc/rc.local, /etc/rc.early, ... gestartet.
>
> Aeh, an das Problem sollte man genau umgekehrt herangehen: ALLES
> mit chflags behandeln, bis auf die Sachen, die aenderbar sein
> muessen.
Nach erfolgreicher Installation kannst Du ohne Probleme alles ausser
bestimmte /var-Bereiche festklopfen, /var/log-Dateien auf "Nur Anhaengen"
stellen.
Solltest Du ab und an neue Pakete installieren, dann evt. /usr/local offen
lassen.
BTW: Die mit chflags geaenderten Secure Flags bleiben erhalten, auch wenn
man den Rechner runterfaehrt. Eine staendige Wiederholung bei jedem
Booten, eingebunden in rc*-Skripte, ist daher nicht noetig.
> Und dabei sollte man sich überlegen, ob man die Datei
> wirklich braucht. Lokale Logfiles sind ein Problem - man loggt per
> syslog auf eine Kiste, auf der man sich nur per Konsole einloggen
> kann. Und so weiter.
Naja, zugegebenermassen habe ich ein Schlupfloch mittels ssh von einer
bestimmten Adresse gelassen - zum Lesen.
Und heutige Platten sind "leider" so gross, dass /var mir unendlich viel
Platz bietet, so dass ich das Rotieren in /etc/newsyslog.conf ausstellen
kann.
Mit der ssh kann ich dann zum Beispiel alle Jahre wieder ein "df /var"
machen;-)
Zugegebenermassen wird das ein wenig unkomfortabel, wenn viele Dinge zu
aendern sind, und erfordert dann ein Reboot und Aenderungen im
Single-User-Mode (oder halt mal schnell rebooten, in single-User-Mode
Securelevel ausschalten, booten, chflags-Skript zum Aendern
laufen lassen, Aenderungen vornehmen, Securelevel in
rc.conf wieder einschalten, chflags-Skript laufen lassen, Securelevel
mittels sysctl erhoehen)
Bei einem Firewall, der ausreichend getestet wurde, wird man
gluecklicherweise nicht alle Tage aendern muessen. Das Sysyem muss man
auch nicht alle Tage updaten, was schert mich ein Sicherheitsloch im BIND,
wenn der gar nicht laeuft.
Gruss
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 23 Jan 2003 - 02:01:46 CET