Discussion :

[Sve@r]

Bonjour à tous

Je réfléchissais à savoir si, dans un but de sécurisation poussée d'une machine Unix, il y aurait une contre indication quelconque à monter /usr en mode ro (quitte à le remonter en mode rw quand on installe un nouveau truc) ?
Pour info j'ai découpé la machine sur 5 partitions (/; /usr; /var; /tmp et /home)

Merci de vos avis...

[frp31]

tu peux, ça complexifies les mises à jour et les installations c'est tout
par contre il ne faut pas mettre de ro sur les volumes
/var
/var/tmp si tu as fait une partoche dédiée
/home encore que..... parfois .... on ferrait mieux....
/tmp

une methode alternative est ce découpage qui permet quand même d'installer bricoler dans la partie locale de /usr (mais bon ça j'utilises surtout sous OpenBSD qui est un modéle de propreté et de sécurité déjà "de base"):
ro /
ro /usr
rw /usr/local
rw /home
rw /tmp
rw /var
et bien sur une swap ...

[Sve@r]

ro /

J'y ai pensé aussi à /. Malheureusement il y a /etc et donc /etc/shadow qui est impacté chaque fois qu'un utilisateur change son mot de passe...

Bon, apparemment ça ne pose pas de souci pour /usr...

/home encore que..... parfois .... on ferrait mieux....

Ouais mais non. Imagine la tronche des users si je leur dis qu'en fait ils ne peuvent plus écrire dans leur home...

[paissad]

Bonjour,
pour moi /home ne devrait pas être en mode RO, même mettre /etc en mode RO est un peu moyen car c'est quasi sûr que l'administrateur y ira pour configurer toujours 2-3 trucs (à moins que ça ne le gêne pas de mettre /etc en RW , faire ses modifications et le remettre en mode RO )
Pour être bref, moi je pense qu'il n'y a que
/usr
/lib
/bin
/sbin
/opt
qui pourraient ou devraient être en RO, le reste en RW.

Cordialement,

[ram-0000]

/opt
qui pourraient ou devraient être en RO, le reste en RW.

/opt, sur un SUN, vaut mieux le laisser en RW sinon un paquet d'applications ne fonctionnera plus.