Паранойя - запретить чтение /etc/*

Засунуть в виртуалку и проверить?

Еще попробуй яйцы дверью прищемить и расскажи потом, больно будет или нет

Не спортивно. Хочу знать, нормально ли вообще запрещать чтение /etc/ всем КРОМЕ рута

Хочу знать, нормально ли вообще запрещать чтение /etc/ всем КРОМЕ рута

Нет. </thread>

Нельзя.

Как тогда программы смогут читать конфиги, расположенные в /etc? Или ты всё запускаешь от рута?

Но зачем ? Боишься, что xorg.conf стащат ?

Или ты всё запускаешь от рута?

Это сервер, там всё (все полтора сервиса) стартует от рута. А vim и mc всякие хомяком должны обходится, не?

Но зачем ?

Настройки фаервола, passwd,groups,shadow, настройки астериска.

Никогда так не делай. Можешь настроить любой MAC, советую TOMOYO.

Есть N вида программ. Если я не прав - поправь.

• Которые читают конфиги ВСЕГДА из /etc. В основном это рутовые программы (Xы и т.д.).
• Программы, у которых лежат дефолты в... где-то, или они сами содержат дефолты;
• Которые читают конфиги из хомяка, а если нет --- из /etc (ну или /usr/share/etc во фре). Тут грабли;
• Которые опираются только на хомяк. Тут вопросов нет;

В общем попробуй. Хотя, то что нельзя читать и так уже нельзя читать.

Да. Всё

А vim и mc всякие хомяком должны обходится, не?

Если ты скопируешь общесистемный конфиг в хомяк каждому юзеру, то да. А так, сначала читается общий, а затем пользовательский.

Что 100% нельзя запрещать читать

passwd, group, ld.so.cache, services, terminfo, nsswitch.conf, resolv.conf, host.conf, hosts

Остальное - пожалуйста. Только смысла - ноль, безопасность от этого не сильно увеличится.

для безопасности: man selinux.

Забыл ещё localtime, profile, bashrc, DIR_COLORS*, issue, issue.net

Ты заголовок подправь, это не паранойя, это мазохизм :-)

Логиниться только рут сможет ☺

У приложений иногда есть специчиские ограничения на права конфигов. Нужно тестировать на виртуалке.