> до интересного файла - это разве нетривиально?Да, ибо вариантов как и что может быть смонтировано - туева хуча. А если какой-то админ начнет ивзращаться - туева хуча в квадрате. Полный парсер который ничего не сломает даже в краевых ситуациях не совсем тривиален, а если что-то отвалится, админ тут же попрется смотреть - WTF. Что явно не в интересах руткитчиков.
>> 2) Это утяжелит троян и потенциально повысит его паливность.
> Не утяжелит и не повысит.
Всех вариантов что, откуда и как может быть замонтировано - довольно много. И все-равно на кравевых случаях проблемы будут.
> На практике никто никаких фокусов не откалывает.
Ну если рассчитывать на сферического админа в вакууме - да. Поэтому и упомянутый фокус никто не учитывает. Так что тем админам кто не хочет автоматизированные заразы - логично менять конфигурацию системы с дефолтов. Желательно наименее предсказуемым образом. И мониторить все это.
> Особенно таких, которые могут стать нетривиальной помехой для взломщика, но не
> для системных задач (обновление ПО на read-only разделе - пример такой задачи).
Обновление системы может делаться под чутким присмотром админа, опять же. Ну и вообще, лучший метод от козлов - неожиданность, как-то так: http://dihalt.ru/gazenvagen.html
>> теперь попробуйте заремаунтить... :)
> Админ может оказаться ещё более хитрым перцем и выдернуть из розетки кабель
> питания сервера. Много лично вы настроили или хотя бы видели Debian-серверов
> с / на read-only разделе? Риторический вопрос.
Именно дебиан на ридонли - ну да, редкая штука. А сам я больше предпочитаю виртуалки и контейнеры. Что тоже неплохо :)