|
1.
Montaje de particiones
Al montar una partición ext2, ext3 o reiserfs
se pueden aplicar algunas opciones en el fichero /etc/fstab.
Las opciones son:
-
nosuid - Ignorará el bit SUID y actúa como si se tratase de
un archivo ordinario
-
noexec - Deshabilitará la ejecución de ficheros en esta
partición
-
nodev - Ignora dispositivos
Desafortunadamente, esas opciones pueden ser fácilmente burladas
ejecutando una trayectoria indirecta. Sin embargo, estableciendo
/tmp como noexec parará la mayoría de los intentos de
explotación (exploits) diseñados para ser ejecutados directamente
desde /tmp.
Listado de Código 1.1: /etc/fstab |
/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp reiserfs notail,noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var reiserfs notail,noatime,nodev 0 0
/dev/sda6 /home reiserfs notail,noatime,nodev,nosuid 0 0
/dev/cdroms /cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0
|
Aviso:
Estableciendo /tmp en modo noexec puede hacer que
ciertos guiones no ejecuten correctamente.
|
Nota:
Referente a las cuotas de disco mire la sección
(Cuotas).
|
Nota:
Yo no configuro /var en modo noexec o
nosuid, incluso si nunca se ejecutan ficheros desde este punto
de montaje. La razón de esto es que netqmail se instala en
/var/qmail y debe tener permitido ejecutar y acceder a un
fichero SUID. Yo establezco /usr en modo de sólo lectura
ya que nunca escribo nada en él excepto cuando quiero actualizar
Gentoo. Entonces vuelvo a montar el sistema de ficheros en modo de
lectura-escritura, actualizo y lo vuelvo a montar nuevamente.
|
Nota:
Incluso si no utiliza netqmail, Gentoo continua necesitando tener
activado el bit de ejecución en /var/tmp ya que los
ebuilds se construyen ahí. Pero se puede establecer una trayectoria
alternativa si insiste en tener /var montado en modo
noexec.
|
|
