В сообщении от Пятница 10 августа 2007 14:11 Konstantin Matyukhin написал(a): > > Очень интересно. Что помешает руту поменять эту строчку и перемонтировать > > файловую систему. В поставленной задаче выход один - запрещать на > > аппаратном уровне. > > Вам повезло, вы таки углядели постановку задачи. А то ведь можно > и до RSBAС с SELinux-ом дойти.
В частных случаях можно и на программном уровне решить - например, реверс-прокси pound после старта вообще доступа к жесткому диску не имеет. Меня лично такое решение вполне устраивает, поскольку pound жестко контролирует корректность запросов и "плохие" просто не отдаст веб-серверу. P.S. Безопасности дебиана "по умолчанию" хватает почти всегда, наверняка есть более важные проблемы, кроме как заниматься разными экзерсисами. Например, приучить людей, знающих рутовый пароль, не писать его на стикере на мониторе _вместе_ со словом root и адресом хоста. Писать все равно будут :-) так пусть хоть не пишут, к чему пароль.
