Gentoo Logo

1.  Partitionen mounten

Mountet man eine ext2, ext3 oder eine reiserfs Partition, so gibt es mehrere Optionen die man in /etc/fstab einfügen kann. Diese Optionen sind:

  • nosuid - Ignoriert das SUID bit und behandelt es einfach wie eine normale Datei.
  • noexec - Verhindert das Ausführen von Dateien von dieser Partition.
  • nodev - Ignoriert Geräte.

Leider können diese Einstellungen leicht umgangen werden, indem man einen nicht-direkten Pfad ausführt. Jedoch kann das Setzen von /tmp auf noexec die Mehrzahl von Exploits aufhalten, welche derart gestaltet sind, dass sie direkt von /tmp ausgeführt werden.

Befehlsauflistung 1.1: /etc/fstab

/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp reiserfs notail,noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var reiserfs notail,noatime,nodev 0 0
/dev/sda6 /home reiserfs notail,noatime,nodev,nosuid 0 0
/dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0

Warnung: Setzt man /tmp in noexec Modus, kann dies dazu führen, dass einige Skripte nicht richtig ausgeführt werden.

Notiz: Für Plattenquotas schauen Sie bitte (im Plattenquotas Abschnitt) nach.

Notiz: Beachten Sie dass ich /var weder in noexec noch in nosuid Modus setze, obwohl Dateien von diesem Mountpoint normalerweise niemals ausgeführt werden. Der Grund dafür ist, dass netqmail in /var/qmail installiert ist und berechtigt sein muss eine suid-Datei auszuführen und auf sie zuzugreifen. Ich setze /usr in read-only Modus, da ich hier nichts verändere solange ich Gentoo nicht aktualisiere. Dann mounte ich das Dateisystem erneut in read-write Modus, aktualisiere und mounte dann erneut in read-only.

Notiz: Selbst wenn Sie netqmail nicht benutzen, braucht Gentoo trotzdem noch die Ausführberechtigung in /var/tmp, da dort Ebuilds hergestellt werden. Jedoch kann hierfür ein alternativer Pfad eingerichtet werden, wenn Sie darauf bestehen /var im noexec Modus zu betreiben.

Seite aktualisiert 31. Mai 2005

Die Originalversion dieses Dokuments wurde zuletzt am 31. März 2012 aktualisiert

Donate to support our development efforts.

Copyright 2001-2012 Gentoo Foundation, Inc. Questions, Comments? Contact us.