Zalety i wady systemu plików tylko do odczytu

Pracuję dla firmy produkującej urządzenia przenośne z systemem Linux, a ostatnio zostałem poproszony o uczynienie bazowego systemu plików tylko do odczytu dla celów „bezpieczeństwa”.

Ponieważ dystrybucja oparta jest na LinuxFromScratch, wiem, że bardzo mało pisania dzieje się w czasie wykonywania. Tak więc, nawet jeśli urządzenie działa na urządzeniu flash USB, wątpię, aby umieszczenie RO systemu plików root było tak korzystne.

Właściwie bardziej martwię się procesem, który faktycznie się psuje, ponieważ nie może otworzyć pliku w trybie RW niż proces przechodzący nieuczciwie i wypełniający główny system plików plikami dziennika itp.

Naprawdę chciałbym usłyszeć, jakie zalety mają w rzeczywistości systemy plików tylko do odczytu.

Dzięki!

Uczynienie systemu plików tylko do odczytu nie jest niezawodnym mechanizmem. Sprawia jednak, że życie atakującego jest bardziej skomplikowane. Jeśli ich atak polega na upuszczeniu pliku do późniejszego wykonania, to się nie powiedzie. Jeśli ich atak nie jest dostosowany do Twojego urządzenia przenośnego, oznacza to niepowodzenie.

Zapobiega to również zapełnieniu systemu plików (i pomaga odizolować wszelkie problemy, które mogły powstać w takim przypadku) i zapobiega zmianie wydajności systemu plików z powodu fragmentacji / zmian systemu plików.

Jeśli chodzi o niebezpieczeństwo awarii aplikacji, jest to zadanie zespołu testującego. Dokładnie przetestuj urządzenie, aby mieć pewność, że wszystko jest w porządku. Pamiętaj, że system plików tylko do odczytu pojawi się ponownie podczas pracy nad aktualizacjami w terenie.

Bezpieczeństwo nigdy nie polega na tym, że twoje procesy „stają się nieuczciwe” z plikami dziennika.

Chodzi o procesy, które nie zostały przez ciebie „zbuntowane” i wymazane z istnienia.

Szczególnie w rękach użytkowników tylko do odczytu jest najbardziej podstawową ochroną, jaką możesz im zapewnić.

Główną wadą jest brak możliwości przechowywania trwałych danych, których użytkownik może chcieć - takich jak hasło, które nie są „uniwersalne” - lub dostosowania ustawień programu. Chociaż przydatna do niektórych celów, instalacja RO jest (zwykle) uciążliwa dla użytkowników długoterminowych.

Będziesz potrzebował tylko systemu plików dołączającego dzienniki, ale byłaby to kolejna partycja z systemu.

Większość procesów użytkownika może obsługiwać system RO w pamięci ROM, jeśli nie działają one jako root. Muszą tylko napisać do kilku plików.

Jeśli zła osoba dostała się do twojego systemu z uprzywilejowanym kontem, to posiadanie systemu plików zamontowanego w trybie tylko do odczytu tak naprawdę nie pomaga ci aż tak bardzo, ponieważ atakujący może po prostu ponownie zamontować odczyt-zapis, jeśli nośnik nie jest również tylko do odczytu .

Jeśli nie masz naprawdę silnego powodu, aby to umożliwić, nie zrobiłbym tego. Osobiście uważam, że dobre kopie zapasowe w połączeniu z dobrymi danymi dziennika, które pokazują, kto zmienił co i kiedy jest o wiele bardziej użyteczny. Bardziej przydatne są także konfigurowanie usług, które nie będą uruchamiane z konta root i posiadanie odpowiednio skonfigurowanych uprawnień do systemu plików.

Powiedziałbym, że jedną z zalet jest to, że jeśli partycja systemowa może (i dlatego zostanie) zaktualizowana zbiorczo (jak coś w rodzaju całego obrazu systemu), to jej zamontowanie RO zapewnia, że ​​aktualizacja nie zastąpi rzeczy, które uległy zmianie. W ciasnym środowisku, takim jak urządzenie wbudowane, podłączenie tylko do odczytu zmusza do sprawdzenia każdego dostępu do zapisu, który powoduje dowolny ze składników systemu, a następnie ostrożnego zdecydowania, czy zmiana ta jest niestabilna (włóż niektóre tmpfs, na przykład informacje o dzierżawie dhcp) lub musi być przechowywany (nawet między aktualizacjami, więc włóż jakiegoś użytkownika RW lub partycję systemową).