Me gustaría bloquear la llamada al sistema de montaje cuando alguien quiera volver a montar /systemen modo lectura-escritura. Lo que significa que me gustaría no permitir la ejecución de lo siguiente: mount -o remount,rw /system. ¿Alguien tiene una idea de dónde debo buscar para cambiar el código en el kernel? Intenté buscar /fs/namespace.calgunas funciones relacionadas con el montaje, pero no estoy muy seguro.
Respuesta1
Podría usar algo como SELinux o seccomp, pero dado que los privilegios completos de root permiten modificar cualquier partición sin montarlas y hacer otras cosas desagradables, posiblemente incluso cargar módulos del kernel para eludir las restricciones, puede que no sea tan trivial. Al menos necesitarías un conjunto de reglas completo que bloquee todos los agujeros habituales.
Modificar el mountbinario o la biblioteca C no es una solución, ya que es bastante sencillo llamar a la llamada del sistema directamente, sin pasar por un binario ya preparado o incluso la biblioteca.
SELinux y los medios habituales de compartimentación y endurecimiento harían más difícil acceder a la raíz en primer lugar, lo que también podría ser útil por otras razones.
Además, está la pregunta sobre qué tienes en ese punto de montaje. Si es algo relevante sólo para este sistema, ¿importa entonces si alguien puede modificarlo? Si obtienen acceso administrativo completo a la máquina, pueden estropear todo lo demás, dejar puertas traseras a su paso y probablemente al menos destruir la partición en cuestión. Si no espera tener que modificarlo y solo desea evitar perder el contenido, sería más fácil guardarlo en almacenamiento de solo lectura. Y para realizar copias de seguridad.
Si el sistema de archivos es utilizado por varios sistemas, probablemente esté montado a través de la red. En ese caso, es mejor evitar las escrituras en el lado del servidor, por lo que no importa si el kernel intenta realizar un montaje de lectura y escritura, aún así no funcionará.