Преимущества и недостатки файловой системы только для чтения

Question

Я работаю в компании, выпускающей портативные устройства под управлением Linux, и недавно меня попросили сделать базовую файловую систему доступной только для чтения в целях безопасности.

Поскольку дистрибутив основан на LinuxFromScratch, я знаю, что во время выполнения происходит очень мало записи. Так что, даже если устройство работает на USB-устройстве флэш-памяти, я сомневаюсь, что установка RO корневой файловой системы будет такой выгодной.

На самом деле меня больше беспокоит процесс, который действительно прерывается, потому что он не может открыть файл в режиме RW, чем процесс, который не работает и заполняет корневую файловую систему файлами журнала и т.д.

Я бы очень хотел , чтобы ухо , какие преимущества недостатков действительно есть с только для чтения файловых систем.

Спасибо!

Answer 1

Создание файловой системы только для чтения не является надежным механизмом. Это, однако, делает жизнь злоумышленника более сложной. Если их атака основана на отбрасывании файла для последующего выполнения, то они терпят неудачу. Если их атака не создана специально для вашего портативного устройства, то они потерпят неудачу

Это также предотвращает заполнение файловой системы (и помогает вам изолировать любые проблемы, которые могли возникнуть в этом случае) и предотвращает изменение производительности файловой системы из-за фрагментации / изменений файловой системы.

Поскольку существует опасность сбоя приложения, это задача вашей команды тестирования. Тщательно протестируйте устройство, и вы можете быть уверены, что все в порядке. Обратите внимание, что файловая система, доступная только для чтения, снова появится, когда вы будете работать с обновлениями в поле.

Answer 2

Безопасность никогда не сводится к тому, что ваши процессы становятся "мошенническими" с файлами журналов.

Речь идет о процессах, которые вы не совершали, когда вы "становились мошенниками" и стирали вещи из существования.

Особенно в руках пользователей, только чтение - это самая базовая защита, которую вы можете им дать.

Answer 3

Я бы сказал, что одним из преимуществ является то, что если системный раздел может (и, следовательно, будет) обновляться массово (например, как образ целого системного образа), его монтирование RO гарантирует, что обновление не перезапишет измененные элементы. В стесненной среде, такой как встроенное устройство, монтирование только для чтения заставляет вас проверять каждый доступ на запись, который делает любой из компонентов системы, а затем тщательно решать, является ли это изменение изменчивым (включите некоторые tmpfs, такие как информация аренды dhcp) или должен быть сохранен (даже через обновления, поэтому поместите на некоторый пользовательский или системный раздел RW).

Answer 4

Основным недостатком является невозможность хранения постоянных данных, которые могут потребоваться пользователю - например, пароль, который не является «универсальным», - или настройки параметров программы. Несмотря на то, что установка RO полезна для некоторых целей, она (как правило) является проблемой для долгосрочных пользователей.

Answer 5

Вам понадобится файловая система только для добавления журналов, но это будет еще один раздел системы.

Большинство пользовательских процессов могут обрабатывать систему RO в ПЗУ, если они не запускаются от имени пользователя root. Им нужно только написать несколько файлов.

Answer 6

Если злой человек проник в вашу систему с привилегированной учетной записью, то наличие файловой системы, монтируемой только для чтения, на самом деле не очень вам поможет, поскольку злоумышленник может просто перемонтировать чтение-запись, если базовый носитель также не только для чтения ,

Если у вас нет действительно веской причины для этого, я бы не стал. Лично я считаю, что хорошие резервные копии в сочетании с хорошими данными журнала, показывающими, кто что изменил и когда, гораздо полезнее. Настройка служб, не запускаемых под учетной записью root, и наличие правильно настроенных разрешений файловой системы также более полезны.