Mi piacerebbe sapere come rendere i file completamente immutabili. "Completely" si riferisce in questo caso a: immutable mentre il sistema è in esecuzione. Potrei vivere con qualcosa come l'accesso fisico dove qualcuno, ad esempio, usa un cd live per cambiare i file immutabili su un hard disk. Non sono molto preoccupato dell'accesso fisico.
So che c'è chattr -i che rende un file immutabile. Ovviamente alcuni hacker potrebbero semplicemente modificare l'attributo. Secondo il manuale di sicurezza debian ( link alla voce 4.17 .2) è possibile impedirlo rimuovendo la capacità CAP_LINUX_IMMUTABLE e rendendo lcap stesso immutabile. Secondo questo sito: link è necessario rimuovere CAP_SYS_RAWIO perché consente di applicare patch al codice del kernel in esecuzione. Questo non è menzionato nel manuale di debian.
Anche dal crossreading di altri siti riguardanti sandboxing su linux, seccomp ecc. ho capito che gli exploit del kernel in linea di principio possono aggirare tali sistemi con capacità ridotte. Ma non sono sicuro che ciò valga anche per il mio caso.
Suppongo che l'autore dell'attacco abbia accesso completo (eccetto fisico) al mio sistema. L'approccio basato sulla capacità di cui sopra gli impedirà di modificare il file immutabile X sul mio sistema? Se no, c'è qualcosa che potrei fare per realizzare questo?