Gentoo Logo

[ << ] [ < ] [ Inicio ] [ > ] [ >> ]


4. Montaje de particiones

4.a. Montaje de particiones

Al montar una partición ext2, ext3 o reiserfs se pueden aplicar algunas opciones en el fichero /etc/fstab. Las opciones son:

  • nosuid - Ignorará el bit SUID y actúa como si se tratase de un archivo ordinario
  • noexec - Deshabilitará la ejecución de ficheros en esta partición
  • nodev - Ignora dispositivos

Desafortunadamente, esas opciones pueden ser fácilmente burladas ejecutando una trayectoria indirecta. Sin embargo, estableciendo /tmp como noexec parará la mayoría de los intentos de explotación (exploits) diseñados para ser ejecutados directamente desde /tmp.

Listado de Código 1.1: /etc/fstab

/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp reiserfs notail,noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var reiserfs notail,noatime,nodev 0 0
/dev/sda6 /home reiserfs notail,noatime,nodev,nosuid 0 0
/dev/cdroms /cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0

Aviso: Estableciendo /tmp en modo noexec puede hacer que ciertos guiones no ejecuten correctamente.

Nota: Referente a las cuotas de disco mire la sección Cuotas.

Nota: Yo no configuro /var en modo noexec o nosuid, incluso si nunca se ejecutan ficheros desde este punto de montaje. La razón de esto es que netqmail se instala en /var/qmail y debe tener permitido ejecutar y acceder a un fichero SUID. Yo establezco /usr en modo de sólo lectura ya que nunca escribo nada en él excepto cuando quiero actualizar Gentoo. Entonces vuelvo a montar el sistema de ficheros en modo de lectura-escritura, actualizo y lo vuelvo a montar nuevamente.

Nota: Incluso si no utiliza netqmail, Gentoo continua necesitando tener activado el bit de ejecución en /var/tmp ya que los ebuilds se construyen ahí. Pero se puede establecer una trayectoria alternativa si insiste en tener /var montado en modo noexec.


[ << ] [ < ] [ Inicio ] [ > ] [ >> ]


Imprimir

Ver completo

Página actualizada 31 de marzo, 2012

Sumario: /etc/fstab proporciona algunas opciones de seguridad.

Kim Nielsen
Autor

John P. Davis
Editor

Eric R. Stockbridge
Editor

Carl Anderson
Editor

Jorge Paulo
Editor

Sven Vermeulen
Editor

Benny Chuang
Editor

Sune Jeppesen
Editor

Tiemo Kieft
Editor

Zack Gilburd
Editor

Dan Margolis
Editor

Joshua Saddler
Editor

John Christian Stoddart
Traductor

José Luis Rivero
Traductor

Postel
Traductor

Carles Ferrer Peris
Traductor

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.