アカウント名:
パスワード:
OSのパッケージング管理下に無いものが/usr/binとかに入っていると誤動作の元。
OSX でもやろうと思えば昔から同じようなことはできたはず。なんで新しい仕組みを作ったんだろう?
# chflags schg filename
とすれば、そのファイルは root でも変更できなくなる。さらに、
# sysctl kern.securelevel=1
とすれば、schg フラグをはずすこともできなくなる。
このあたりの機能はかなり古い BSD に由来するので、初期の OSX からずっと使えてたはず。使ったことないけど。
それやっちゃうとOSの更新とかまで出来なくなったりしません?
rebootしてnoschgして更新、再度schgしてsecurelevel=1ってのを手でやると間違えがちなのでスクリプト化、ってrebootとか面倒臭いというならそこまでしないし、それで安心なの?ってのもごもっともなのでsnort入れるとか。そこらへんがセキュリティポリシーというやつ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
他のOSにも導入して欲しい (スコア:0)
OSのパッケージング管理下に無いものが/usr/binとかに入っていると誤動作の元。
Re: (スコア:0)
OSX でもやろうと思えば昔から同じようなことはできたはず。
なんで新しい仕組みを作ったんだろう?
# chflags schg filename
とすれば、そのファイルは root でも変更できなくなる。
さらに、
# sysctl kern.securelevel=1
とすれば、schg フラグをはずすこともできなくなる。
このあたりの機能はかなり古い BSD に由来するので、
初期の OSX からずっと使えてたはず。使ったことないけど。
Re:他のOSにも導入して欲しい (スコア:2)
それやっちゃうとOSの更新とかまで出来なくなったりしません?
Re: (スコア:0)
rebootしてnoschgして更新、再度schgしてsecurelevel=1
ってのを手でやると間違えがちなのでスクリプト化、
ってrebootとか面倒臭いというならそこまでしないし、
それで安心なの?ってのもごもっともなのでsnort入れるとか。
そこらへんがセキュリティポリシーというやつ。