Gentoo Logo

1.  Montaje de particiones

Al montar una partición ext2, ext3 o reiserfs se pueden aplicar algunas opciones en el fichero /etc/fstab. Las opciones son:

  • nosuid - Ignorará el bit SUID y actúa como si se tratase de un archivo ordinario
  • noexec - Deshabilitará la ejecución de ficheros en esta partición
  • nodev - Ignora dispositivos

Desafortunadamente, esas opciones pueden ser fácilmente burladas ejecutando una trayectoria indirecta. Sin embargo, estableciendo /tmp como noexec parará la mayoría de los intentos de explotación (exploits) diseñados para ser ejecutados directamente desde /tmp.

Listado de Código 1.1: /etc/fstab

/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp reiserfs notail,noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var reiserfs notail,noatime,nodev 0 0
/dev/sda6 /home reiserfs notail,noatime,nodev,nosuid 0 0
/dev/cdroms /cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0

Aviso: Estableciendo /tmp en modo noexec puede hacer que ciertos guiones no ejecuten correctamente.

Nota: Referente a las cuotas de disco mire la sección (Cuotas).

Nota: Yo no configuro /var en modo noexec o nosuid, incluso si nunca se ejecutan ficheros desde este punto de montaje. La razón de esto es que netqmail se instala en /var/qmail y debe tener permitido ejecutar y acceder a un fichero SUID. Yo establezco /usr en modo de sólo lectura ya que nunca escribo nada en él excepto cuando quiero actualizar Gentoo. Entonces vuelvo a montar el sistema de ficheros en modo de lectura-escritura, actualizo y lo vuelvo a montar nuevamente.

Nota: Incluso si no utiliza netqmail, Gentoo continua necesitando tener activado el bit de ejecución en /var/tmp ya que los ebuilds se construyen ahí. Pero se puede establecer una trayectoria alternativa si insiste en tener /var montado en modo noexec.

Página actualizada 31 de marzo, 2012

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.