Zalety i wady systemu plików tylko do odczytu

2

Pracuję dla firmy produkującej urządzenia przenośne z systemem Linux, a ostatnio zostałem poproszony o uczynienie bazowego systemu plików tylko do odczytu dla celów „bezpieczeństwa”.

Ponieważ dystrybucja oparta jest na LinuxFromScratch, wiem, że bardzo mało pisania dzieje się w czasie wykonywania. Tak więc, nawet jeśli urządzenie działa na urządzeniu flash USB, wątpię, aby umieszczenie RO systemu plików root było tak korzystne.

Właściwie bardziej martwię się procesem, który faktycznie się psuje, ponieważ nie może otworzyć pliku w trybie RW niż proces przechodzący nieuczciwie i wypełniający główny system plików plikami dziennika itp.

Naprawdę chciałbym usłyszeć, jakie zalety mają w rzeczywistości systemy plików tylko do odczytu.

Dzięki!

bookmarc
źródło
Obecnie czytam o związku fs. Chociaż wydaje się, że działa, nie wydaje się być rozwiązaniem długoterminowym.
bookmarc
Coraz bardziej zastanawiam się nad przeglądem układu partycji. Obecnie mam tylko jeden root fs i partycję zarezerwowaną przez użytkownika. Ta partycja użytkownika zawiera tylko pliki utworzone przez użytkownika i nic więcej.
bookmarc

Odpowiedzi:

3

Uczynienie systemu plików tylko do odczytu nie jest niezawodnym mechanizmem. Sprawia jednak, że życie atakującego jest bardziej skomplikowane. Jeśli ich atak polega na upuszczeniu pliku do późniejszego wykonania, to się nie powiedzie. Jeśli ich atak nie jest dostosowany do Twojego urządzenia przenośnego, oznacza to niepowodzenie.

Zapobiega to również zapełnieniu systemu plików (i pomaga odizolować wszelkie problemy, które mogły powstać w takim przypadku) i zapobiega zmianie wydajności systemu plików z powodu fragmentacji / zmian systemu plików.

Jeśli chodzi o niebezpieczeństwo awarii aplikacji, jest to zadanie zespołu testującego. Dokładnie przetestuj urządzenie, aby mieć pewność, że wszystko jest w porządku. Pamiętaj, że system plików tylko do odczytu pojawi się ponownie podczas pracy nad aktualizacjami w terenie.

Slartibartfast
źródło
1

Bezpieczeństwo nigdy nie polega na tym, że twoje procesy „stają się nieuczciwe” z plikami dziennika.

Chodzi o procesy, które nie zostały przez ciebie „zbuntowane” i wymazane z istnienia.

Szczególnie w rękach użytkowników tylko do odczytu jest najbardziej podstawową ochroną, jaką możesz im zapewnić.

Aeo
źródło
0

Główną wadą jest brak możliwości przechowywania trwałych danych, których użytkownik może chcieć - takich jak hasło, które nie są „uniwersalne” - lub dostosowania ustawień programu. Chociaż przydatna do niektórych celów, instalacja RO jest (zwykle) uciążliwa dla użytkowników długoterminowych.

hotei
źródło
0

Będziesz potrzebował tylko systemu plików dołączającego dzienniki, ale byłaby to kolejna partycja z systemu.

Większość procesów użytkownika może obsługiwać system RO w pamięci ROM, jeśli nie działają one jako root. Muszą tylko napisać do kilku plików.

Broam
źródło
0

Jeśli zła osoba dostała się do twojego systemu z uprzywilejowanym kontem, to posiadanie systemu plików zamontowanego w trybie tylko do odczytu tak naprawdę nie pomaga ci aż tak bardzo, ponieważ atakujący może po prostu ponownie zamontować odczyt-zapis, jeśli nośnik nie jest również tylko do odczytu .

Jeśli nie masz naprawdę silnego powodu, aby to umożliwić, nie zrobiłbym tego. Osobiście uważam, że dobre kopie zapasowe w połączeniu z dobrymi danymi dziennika, które pokazują, kto zmienił co i kiedy jest o wiele bardziej użyteczny. Bardziej przydatne są także konfigurowanie usług, które nie będą uruchamiane z konta root i posiadanie odpowiednio skonfigurowanych uprawnień do systemu plików.

Zoredache
źródło
Opisana aplikacja dotyczy urządzeń przenośnych. Urządzenia konsumenckie nie będą wykorzystywać danych dziennika.
Slartibartfast,
0

Powiedziałbym, że jedną z zalet jest to, że jeśli partycja systemowa może (i dlatego zostanie) zaktualizowana zbiorczo (jak coś w rodzaju całego obrazu systemu), to jej zamontowanie RO zapewnia, że ​​aktualizacja nie zastąpi rzeczy, które uległy zmianie. W ciasnym środowisku, takim jak urządzenie wbudowane, podłączenie tylko do odczytu zmusza do sprawdzenia każdego dostępu do zapisu, który powoduje dowolny ze składników systemu, a następnie ostrożnego zdecydowania, czy zmiana ta jest niestabilna (włóż niektóre tmpfs, na przykład informacje o dzierżawie dhcp) lub musi być przechowywany (nawet między aktualizacjami, więc włóż jakiegoś użytkownika RW lub partycję systemową).

Jeff Dag
źródło