Алексей:
> Тогда уже mount -o ro / & /usr + применение ACL & ext attrib
> на FS это меньше бросается в глаза чем chflags.
RO на файловую системы - тоже неплохо, но в отличие от флагов, это пробивается командой mount при наличии root-прав.
> Но каким образом это защитит если взломщик
> _уже_ имеет права рута после взлома какого нить сервиса?
Даже root при суровом уровне защиты не может снять некоторые флаги. Если эти флаги защиты выставлены в т.ч. на стартовые скрипты и запускаемые ими программы, то для снятия этих флагов нужны ручные манипуляции при загрузке системы типа загрузки в однопользовательском режиме. Но эти манипулчции можно проводить только с консоли, но не по сетИ.
=>, мы получаем взломоустойчивую систему. Правда, нужно ещё разобраться со списком файлов, которым необходима защита.
> Надеятся, что взломщик не подчистит за собой всех логов -
> и ты обнаружиш факт перезагрузки, мягко скажем неприходится.
Для этого можно наладить отсылку логов на спец.машину, доступ к которой возможен только с консоли (из демонов там только syslogd). Нет предела паранойи! :-)
poige:
> Во-первых, это НЕ факт, что не додумался. Может же быть так,
> что автор просто не написал об этом. Для другой статьи приберег.
> В общем, как знать? Не глупо ли заявлять в таком случае о глупости автора?
Если не написАл, то должен был упомянуть об этом и о др.способах, дабы мы знали, куда копать дальше.
А если приберёг для др.статьи, то т.б. должен был упомянуть, дабы заинтересовать читателей.
А вот в jail можно сажать далеко не все процессы, которые м.б. захвачены взломщиком.
> Чего тут скажешь... может быть вы ленитесь искать в другом месте
> (или подсознательно этого избегаете)?
Дык посоветуйте.
> Вообще, конечно, понимаю, что типичному представителю вида
> "гомо сапиенс" обычно хочется, чтобы все блага мира
> были в одном конкретном месте (да поближе),
> отсортированными, и готовыми к немедленному употреблению,
Из всех мест, где я бывал, http://www.opennet.dev и http://www.citforum.ru наиболее близки к желаемому.