Как запретить кому-либо (также пользователю root) изменять файл в Linux?
Наконец-то я нашел некоторое представление о этом списке рассылки .
Конфигурация Redis по умолчанию имеет максимум 16 баз данных. Остановка openvassd во время ее выполнения оставляет базу данных заблокированной, а запуск ее в следующий раз создает новую базу данных. После 16 таких нечистых отключений openvassd будет зависать при запуске из-за отсутствия баз данных Redis.
Путем -грубой силы исправить это можно с помощью flushallдирективы redis (заменить свой файл redis sock соответствующим образом):
# redis-cli -s /tmp/redis.sock
> flushall
Я даже смог возобновить массовое сканирование...
Решением может быть создание раздела с luks, зашифрованного паролем.
РЕДАКТИРОВАТЬ:Другим подходом может быть использование IPFSдля сохранения файла.
В операционной системе общего назначения всегда есть учетная запись суперпользователя, которая в конечном итоге может и отменить любые действия (, в противном случае вы не сможете смягчить/очистить скомпрометированную систему ).
- Неизменяемый атрибут(
chattr +i)— хороший способ избежать ошибки - Монтировать файловую систему только для чтения нецелесообразно и неэффективно (легко отменить)
- создание и использование файловой системы только для чтения -легко переопределить (оверлейную файловую систему или просто использовать привязку к другой файловой системе)
- Система обязательного контроля доступа (наподобие SELinux )наиболее близка к тому, что вам нужно :root shell в(роли персонала не может выполнять некоторые действия, но есть также(роль sysadm с дополнительными привилегиями)
- Даже в самой параноидальной системе безопасность будет сводиться к тому, кто имеет физический доступ к системе...чтобы изменить команду загрузки ядра , например (, это относится к устройствам Android)