Securelevel

buebo

buebo

Well-Known Member
Moin,
da ich dieses Wochenende sowieso kein Geld habe (übersetzt: viel Zeit zum Basteln), wollte ich mich mal an die Securelevels wagen, das System ist mein Router/Allzwecksever auf dem diverse Sachen laufen.
Grundsätzlich würde ich Securelevel 2 fahren, die folgenden Flags fände ich sinnvoll:

schg:
/bin (und alles im Verzeichniss)
/sbin (und alles im Verzeichniss)
rc.conf
/etc/pf.conf
/var/log (das Verzeichniss)
/root (das Verzeichniss)

sappnd:
einfach alles unter /var/log
/root/.history

Hört sich das für euch sinnvoll an? Fehlen da noch Sachen? Was habe ich übersehen?

Ein paar Fragen hätte ich allerdings noch

Wenn ich Logfiles mit dem sappnd-Flag belege könnnen sie ja nur noch erweitert werden, Einträge können nicht mehr gelöscht werden. Funktioniert dann die Logrotation noch? Könnnen sie noch gepackt werden und könnten Einträge in den Archiven geändert werden?

Ich meine mich zu erinnern das ab einem gewissen Securelevel keine Module mehr in den Kernel geladen werden können. Wann wird denn im Bootprozess das Securelevel gesetzt? Nach dem Laden der Module?
Ich frage weil Vinum, pf und ACPI nur als Modul vorliegen und ich zumindest sehr ungerne auf pf verzichten würde und auf Vinum nicht verzicheten kann.

Gruß
buebo
 
Ich weiß nicht, wie sich die sappnd-Flags auf die Logrotation unter /var/log auswirken, jedenfalls funktioniert Logration mit dem sunlnk-Flag definitiv nicht.
 
Grade im Ami-Forum erfahren das es auch mit dem sappnd-Flag nicht funktioniert.
Jetzt muss ich mir überlegen wie ich das am besten Handhabe, Logs werden schon relativ schnell recht groß und wenn ich die nur im Single-User-Modus und auch dann nur recht umständlich rotieren kann ist das doch eher unangenehm...
 
Logratation wird nicht funktionieren. Dann heisst es halt Konfiguration intelligent anpassen. Das ganze /var/log zu "flaggen" halte ich nicht für sinnvoll. Nur das auth.log wäre zum Beispiel ne Alternative.

Securelevels sind ne ziemlich krasse Sache und eigentlich nur Nutzbar wenn man auch physischen Zugang zur Box hat.

Zusammen mit Jails wird die Sache allerdings richtig interessant. Denn dann kann man vom Hostsystem aus immernoch die Fileflags änderen ohne den Rechner in SingleUser-Mode zu fahren. (Securelevel in Jails, Hostsystem ohne, natürlich auch ohne Dienste nach Aussen)

Alternativ könnte man auch auf nen anderen Rechner loggen(syslogd kann das via UDP).

r0b0
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben