buebo
Well-Known Member
Moin,
da ich dieses Wochenende sowieso kein Geld habe (übersetzt: viel Zeit zum Basteln), wollte ich mich mal an die Securelevels wagen, das System ist mein Router/Allzwecksever auf dem diverse Sachen laufen.
Grundsätzlich würde ich Securelevel 2 fahren, die folgenden Flags fände ich sinnvoll:
schg:
/bin (und alles im Verzeichniss)
/sbin (und alles im Verzeichniss)
rc.conf
/etc/pf.conf
/var/log (das Verzeichniss)
/root (das Verzeichniss)
sappnd:
einfach alles unter /var/log
/root/.history
Hört sich das für euch sinnvoll an? Fehlen da noch Sachen? Was habe ich übersehen?
Ein paar Fragen hätte ich allerdings noch
Wenn ich Logfiles mit dem sappnd-Flag belege könnnen sie ja nur noch erweitert werden, Einträge können nicht mehr gelöscht werden. Funktioniert dann die Logrotation noch? Könnnen sie noch gepackt werden und könnten Einträge in den Archiven geändert werden?
Ich meine mich zu erinnern das ab einem gewissen Securelevel keine Module mehr in den Kernel geladen werden können. Wann wird denn im Bootprozess das Securelevel gesetzt? Nach dem Laden der Module?
Ich frage weil Vinum, pf und ACPI nur als Modul vorliegen und ich zumindest sehr ungerne auf pf verzichten würde und auf Vinum nicht verzicheten kann.
Gruß
buebo
da ich dieses Wochenende sowieso kein Geld habe (übersetzt: viel Zeit zum Basteln), wollte ich mich mal an die Securelevels wagen, das System ist mein Router/Allzwecksever auf dem diverse Sachen laufen.
Grundsätzlich würde ich Securelevel 2 fahren, die folgenden Flags fände ich sinnvoll:
schg:
/bin (und alles im Verzeichniss)
/sbin (und alles im Verzeichniss)
rc.conf
/etc/pf.conf
/var/log (das Verzeichniss)
/root (das Verzeichniss)
sappnd:
einfach alles unter /var/log
/root/.history
Hört sich das für euch sinnvoll an? Fehlen da noch Sachen? Was habe ich übersehen?
Ein paar Fragen hätte ich allerdings noch
Wenn ich Logfiles mit dem sappnd-Flag belege könnnen sie ja nur noch erweitert werden, Einträge können nicht mehr gelöscht werden. Funktioniert dann die Logrotation noch? Könnnen sie noch gepackt werden und könnten Einträge in den Archiven geändert werden?
Ich meine mich zu erinnern das ab einem gewissen Securelevel keine Module mehr in den Kernel geladen werden können. Wann wird denn im Bootprozess das Securelevel gesetzt? Nach dem Laden der Module?
Ich frage weil Vinum, pf und ACPI nur als Modul vorliegen und ich zumindest sehr ungerne auf pf verzichten würde und auf Vinum nicht verzicheten kann.
Gruß
buebo