Можно ли запретить руту операции с блочными устройствами

Смонтировать в RO. И заблокировать перемонтирование как-то.

выпили бинарники. либо создай пользователя root2

Не запускай вирусы под рутом и всё

ну я так и думал что это невозможно, поэтому купил SATA-USB Адаптер и SSD для хранения бекапов. На случай атомной войны.

Что мешает портить данные записью в файлы?

я не понял тебя

Заведи второй ПК на котором будут физически находится блочные устройства и они по сети будут монтироваться на первый ПК, технически всё соблюдено. Но если под рутом бяка то ей плевать на блочное устройство наверное, ему надо файлы. Разве что защита от специфичной бяки которой нужно именно блочное устройство, которого при монтировании по сети тупа не буит =)

Бяка под рутом портит данные файлов, а не /dev/sda напрямую курочит. И там и там данные будут похерены если оно решило похерить.

Задумался, не поможет ли тут FireJail -- краткое и ознакомительное практическое руководство?

И автор статьи уже тут, кстати. :)

он для изоляции отдельных приложений предназначен. а так да завести локальный сервак с сетевой файловой системой - тож выход

он для изоляции отдельных приложений предназначен

Ну вот же они!

Идея запретить dd, cat и тп

В статье прочитал:

sudo firecfg; Будет произведена подстановка симлинков в /usr/local/bin; теперь если вы запустите firefox или сhromium, они будут запущены с профилями, ограничивающими их доступ к файловой системе, командной оболочке и прочему тому, к чему доступа таким приложениям обычно не нужно.

Всё, теперь большая часть программ запускается в изоляции имея доступ только к тому что записано в профилях.

Для dd/cat готовых профилей в пакете firejail-profiles нет, но они могут быть у ChatGPT или на других просторах.

Что за вирусня портит данные с помощью dd?

они могут быть у ChatGPT

Вы их, профили эти, главное проверьте, причём обязательно на живой системе без бекапов.

подстановка симлинков

Защита от вирусов, написаных на bash?

В Линуксе уж слишком много чего рут требует. Даже для установки обычного совта во многих дистрибутивах рут требуется.

Astra Linux со включенной защитой так и работает (:

https://ibb.co/1qDvqmp

Вместо запрещения разной фигни нужно просто делать бекапы.

Что, и mknod не помогает, или mknod тоже нельзя?

там через selinux правила настроены

Что мешает его выключить? В предельном случае через загрузку своего ядра.

там не selinux, они даже в рекламных буклетах пишут, что не используют кривые вражьи наработки, там свой костыль. У голого рута прав вообще ни на что нет, даже пакеты ставить не может.

Да как бы тебе сказать..)

https://ibb.co/Ws4HrJ3

private dev в теории да, поможет только вот придётся самого рута по дефолту под клеткой пускать ну или как сказал выше заблочить перемонтирование,но я не пробовал поэтому молчу

Вы их, профили эти, главное проверьте, причём обязательно на живой системе

А мне-то они зачем? :)

Защита от вирусов, написаных на bash?

А такие есть?

Можно. Selinux

Но это не тот root, под которым захочет сидеть ТС и запускать вирусню. Исходно ведь тема про пользователя, которому можно всё, кроме записи на блочные устройства.

Наконец то годный аналоговнет.

Вирусня не пользуется dd, cat и т.п.

На самом деле, я не знаю, можно ли уре́зать права ванильного рута и не сломать при этом каких-то системных функций.

сборочные скрипты

Malware has been discovered in at least three Arch Linux packages available on AUR (Arch User Repository), the official Arch Linux repository of user-submitted packages.

достаточно автора популярного репо хекнуть

Зачем тебя хакать чтобы на тебе что-то собирать, когда можно собрать бинарб у себя и загрузить к тебе?

Работай из виртуалки, в которой не будет ненужного доступа, но будет свой отдельный рут.

Нет. В Астре используется «отечественная» система MAC.

https://habr.com/ru/companies/astralinux/articles/670060/

Для AppArmor и seLinux, по мнению авторов, не существует доступной формальной модели, их код слишком обширный, чтобы можно было верифицировать, а модели Белла-ЛаПадулы и Биба типа устарели.

Нет, это тот рут.

Если ты хочешь работать с блочными устройствами, то при логине ты должен ввести соответствующий уровень целостности. Если не хочешь, а хочешь баловаться с вирусами и кривыми руками, не вводи этот уровень при логине.

Зачем запускать сборочные скрипты от рута? О_О О_О О_О

И какой уровень целостности разрешает всё, кроме записи на блочные устройства?

Из коробки, понятно, никакой. Кому это надо.

Но там два уровня зарезервированы для тех, кто хочет странного. Можно на все блочные устройства выдать этот уровень.

потому что они внутри себя крутят losetup, chroot и прочее нездоровое, например.

Так лучше разрешить отдельному пользователю нездоровое, чем запускать от рута и потом запрещать здоровое.

Что мешает портить данные записью в файлы?

Снэпшоты, например, ZFS?

Заведи второй ПК на котором будут физически находится блочные устройства и они по сети будут монтироваться на первый ПК, технически всё соблюдено.

Если только через NFS, Samba и т.п. неблочный протокол типа iSCSI.

Astra Linux со включенной защитой так и работает (:

Это только SE?

там через selinux правила настроены

У них же вроде свой LSM?

Астра умеет ZFS?

кто тебе мешает эту каку в любом дистре использовать?

кто тебе мешает эту каку в любом дистре использовать?

Даже в том, в котором под рутом работает dd ? :)

Кстати, а почему «каку»?

Эта защита Астры сколько-нибудь может защитить от буткитов? Хотя бы сдетектировать наличие подозрений на буткит?

Например, у меня иногда случается что-то похожее на эмуляцию (или не эмуляцию, но memtest проходит чисто хоть целые сутки даже в многопотоке) проблем с оперативной памятью типа такого:

cat corrupted_ram_bad_mobo.txt 
[14439.547800] Corrupted low memory at 0000000044349937 (a158 phys) = 880001000000
[14439.547801] Corrupted low memory at 00000000ee47f489 (a160 phys) = 01000000
[14439.547803] Corrupted low memory at 00000000e1e8d7c2 (a168 phys) = 880001000000
[14439.547804] Corrupted low memory at 00000000768b4a6c (a170 phys) = 03000000

Проблемы с оперативкой случаются относительно редко, от силы раз в месяц и обычно сопровождаются достаточно странными глюками, непохожими на случайные, например, перестает запускаться Firefox Наверно, чтобы я на ЛОРе не писал? :)

Кроме SecureBoot что-нибудь еще придумано?

А не получится так, что буткит сможет переключать уровни и в конечном итоге образно разрешит какому-нибудь дружественному зловреду запустить dd? Я НЕ спец. в области безопасности, просьба сильно не ругаться, если вопрос задан некорректно.

Вообще-то у меня дистрибутивы с systemd вызывают когнитивный диссонанс при рассмотрении их в контексте безопасности.

Трудно что-ли сделать вариант Astra SE без systemd? Хотя бы без GUI, просто headless сервер с ZFS+NFS, и Docker или Podman для контейнеров.

ну я 6 лет с btrfs сижу просто и не вижу смысла замены шила на мыло. раньше для того чтобы zfs завести нужно было ядро компилировать сидеть, поэтому я решил «сложно» и забил на его существование, сейчас же там как dkms все грузится, ядро левое не нужно, но мне не нужен функционал типа встроенного шифрования, это, конечно, круто, но у меня аппаратное, смущает, что данная фаловая система максимально чужая, те даже в /etc/fstab ничего прописывать не надо…

ну и zfs медленее (чему я удивлен, ведь ее так пиарят)

• https://www.reddit.com/r/zfs/comments/vqc0m9/comment/iep23ce/?utm_source=share&utm_medium=web2x&context=3

• https://www.reddit.com/r/zfs/comments/vqc0m9/comment/iv0wa6x/?utm_source=share&utm_medium=web2x&context=3

но мне не нужен функционал типа встроенного шифрования,

В ZFS очень много другого полезного функционала, и все таки правильно выбранная версия ZFS понадежнее Btrfs, которая до недавнего времени IMHO вообще была некой файловой «русской рулеткой».

это, конечно, круто, но у меня аппаратное, смущает, что данная фаловая система максимально чужая, те даже в /etc/fstab ничего прописывать не надо…

Если указать тип монтирования zfs set mountpoint=legacy, то можно и в /etc/fstab.