Gentoo Logo

[ << ] [ < ] [ Hauptseite ] [ > ] [ >> ]

4. Einbinden von Partitionen mit mount

4.a. Partitionen mounten

Mountet man eine ext2, ext3 oder eine reiserfs Partition, so gibt es mehrere Optionen die man in /etc/fstab einfügen kann. Diese Optionen sind:

  • nosuid - Ignoriert das SUID bit und behandelt es einfach wie eine normale Datei.
  • noexec - Verhindert das Ausführen von Dateien von dieser Partition.
  • nodev - Ignoriert Geräte.

Leider können diese Einstellungen leicht umgangen werden, indem man einen nicht-direkten Pfad ausführt. Jedoch kann das Setzen von /tmp auf noexec die Mehrzahl von Exploits aufhalten, welche derart gestaltet sind, dass sie direkt von /tmp ausgeführt werden.

Befehlsauflistung 1.1: /etc/fstab

/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp reiserfs notail,noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var reiserfs notail,noatime,nodev 0 0
/dev/sda6 /home reiserfs notail,noatime,nodev,nosuid 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0

Warnung: Setzt man /tmp in noexec Modus, kann dies dazu führen, dass einige Skripte nicht richtig ausgeführt werden.

Notiz: Für Plattenquotas schauen Sie bitte im Plattenquotas Abschnitt nach.

Notiz: Beachten Sie dass ich /var weder in noexec noch in nosuid Modus setze, obwohl Dateien von diesem Mountpoint normalerweise niemals ausgeführt werden. Der Grund dafür ist, dass netqmail in /var/qmail installiert ist und berechtigt sein muss eine suid-Datei auszuführen und auf sie zuzugreifen. Ich setze /usr in read-only Modus, da ich hier nichts verändere solange ich Gentoo nicht aktualisiere. Dann mounte ich das Dateisystem erneut in read-write Modus, aktualisiere und mounte dann erneut in read-only.

Notiz: Selbst wenn Sie netqmail nicht benutzen, braucht Gentoo trotzdem noch die Ausführberechtigung in /var/tmp, da dort Ebuilds hergestellt werden. Jedoch kann hierfür ein alternativer Pfad eingerichtet werden, wenn Sie darauf bestehen /var im noexec Modus zu betreiben.

[ << ] [ < ] [ Hauptseite ] [ > ] [ >> ]

Die Inhalte dieses Dokuments sind, sofern nicht explizit anders genannt, unter der Creative Commons - Namensnennung / Weitergabe Lizenz lizenziert. Die Gentoo Name and Logo Usage Guidelines treffen zu.

Drucken

Alles ansehen

Seite aktualisiert 31. März 2012

Zusammenfassung: /etc/fstab liefert viele Sicherheitsoptionen.

Kim Nielsen
Autor

John P. Davis
Bearbeiter

Eric R. Stockbridge
Bearbeiter

Carl Anderson
Bearbeiter

Jorge Paulo
Bearbeiter

Sven Vermeulen
Bearbeiter

Benny Chuang
Bearbeiter

Sune Jeppesen
Bearbeiter

Tiemo Kieft
Bearbeiter

Zack Gilburd
Bearbeiter

Dan Margolis
Bearbeiter

Joshua Saddler
Bearbeiter

Jan Hendrik Grahl
Übersetzer

Tobias Scherbaum
Übersetzer

Matthias Geerdsen
Übersetzer

Tobias Heinlein
Übersetzer

Donate to support our development efforts.

Copyright 2001-2013 Gentoo Foundation, Inc. Questions, Comments? Contact us.