![/boot 파티션에 불변 비트를 설정하면 어떤 영향이 있나요? [닫기]](https://linux55.com/image/45831/%2Fboot%20%ED%8C%8C%ED%8B%B0%EC%85%98%EC%97%90%20%EB%B6%88%EB%B3%80%20%EB%B9%84%ED%8A%B8%EB%A5%BC%20%EC%84%A4%EC%A0%95%ED%95%98%EB%A9%B4%20%EC%96%B4%EB%96%A4%20%EC%98%81%ED%96%A5%EC%9D%B4%20%EC%9E%88%EB%82%98%EC%9A%94%3F%20%5B%EB%8B%AB%EA%B8%B0%5D.png)
보안 관점에서 /boot 파티션에 불변 비트를 설정하면 어떤 의미가 있습니까? 응실현 가능 한-i/boot 아래의 모든 항목에 불변 비트( )를 설정하시겠습니까? 시스템 보안을 강화할 것인가, 감소할 것인가?
나는 한 단계 더 나아가서 등과 같은 다른 "귀중한" 파일에 대해서도 /etc/bind/named.conf동일한 작업을 수행하고 싶습니다.
답변1
긴 이야기 짧게
특정 검토 요구 사항이 없으면 이 작업을 수행하지 마세요. 일반적으로 이것은 가치 있는 것보다 더 많은 문제입니다.
설명하다
/boot에 대한 쓰기 액세스 권한이 있어야 하는 유일한 계정은 루트입니다. 루트 액세스 권한이 있으면 불변 비트의 설정을 해제하고 원하는 대로 거의 모든 작업을 수행할 수 있습니다.
/boot 읽기 전용 마운트, 불변 비트 설정 또는 유사한 작업의 주요 단점은 커널이나 부트로더가 업데이트될 때마다 이러한 설정을 실행 취소해야 한다는 것입니다. 이는 의미 있는 보안을 제공하기보다는 걸림돌을 야기할 가능성이 더 높습니다.
대안
당신이 무엇인지에 따라 달라집니다진짜이 작업을 시도할 때 몇 가지 대안이 있을 수 있습니다. 예를 들어:
- 파일 시스템 손상이 우려된다면 /boot가 거의 기록되지 않는 별도의 파티션에 있는지 확인하는 것이 좋습니다.
- /boot의 내용을 주기적으로 확인하십시오.인계철선또는뎁섬이는 변조가 우려되는 경우, 특히 별도의 읽기 전용 매체에 저장된 해시를 비교할 때 좋은 보안 조치입니다.
- /boot를 읽기 전용으로 마운트한 다음 패키지 관리자가 업데이트 중에 읽기-쓰기로 마운트하도록 하는 것이 유용할 수 있습니다.
Apt 업데이트 중 읽기 전용 파티션 다시 마운트
최종 대안의 예로, /etc/fstab에서 /boot를 읽기 전용으로 구성한 후 Debian 기반 시스템의 /etc/apt/apt.conf에 다음과 유사한 내용을 추가할 수 있습니다.
DPkg {
Pre-Invoke { "mount -o remount,rw /boot"; };
Post-Invoke {
"test ${NO_APT_REMOUNT:-no} = yes ||
mount -o remount,ro /boot ||
true";
};
};
이렇게 하면 /boot가 읽기 전용으로 유지됩니다(업데이트 중 제외). 분명히, 적절한 패키지 관리자를 사용하지 않거나 위의 방법이 다른 이유로 작동하지 않는 경우 다른 작업을 수행해야 합니다.