|
1.
Osioiden liittäminen
Ext2-, ext3- ja reiserfs-osioissa on joitakin
tietoturva-asetuksia, joita voi lisätä /etc/fstabiin:
-
nosuid — ohita SUID-bitit kuin tiedostot olisivat tavallisia.
-
noexec — Älä suorita tiedostoja tältä osiolta.
-
nodev — Ohita laitetiedostot.
Valitettavasti nämä asetukset voi kiertää helposti epäsuorien polkujen kanssa.
Asettamalla /tmp-hakemiston noexeciin estää useimmat
haavoittuvuuksista toimimasta /tmp:stä
Koodilistaus 1.1: /etc/fstab |
/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp reiserfs notail,noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var reiserfs notail,noatime,nodev 0 0
/dev/sda6 /home reiserfs notail,noatime,nodev,nosuid 0 0
/dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0
|
Varoitus:
Jos /tmp on noexec, jotkin skriptitkään eivät toimi oikein.
|
Huomaa:
Levytilarajoitukset löytyvät (Levytilarajoituskappaleesta).
|
Huomaa:
Joskus kannattaa jättää asettamatta noexec ja nosuid
/varille, vaikka sieltä ei suoriteta ohjelmia. Tämä johtuu
netqmailista, joka asentuu /var/qmailiin ja sen pitää suorittaa
yhtä tiedostoa SUID-oikeuksin. /usr voi olla hyödyllistä
jättää kirjoitussuojatuksi, sillä sinne ei tarvitse kirjoittaa mitään ellei
ohjelmistoja päivitetä, ja päivityksen ajaksi sen voi hetkellisesti
uudeelleenliittää kirjoitustilassa.
|
Huomaa:
Vaikka käytössä ei olisi netqmailia, Gentoo tarvitsee suorituskyvyn
/var/tmp-hakemistoon, koska ebuildit suoritetaan siellä.
Tätä polkua voi tosin muuttaa, jos /var halutaan säilyttää
noexecinä.
|
|
Viimeksi päivitetty 31. toukokuuta 2005 |
Tämän tekstin alkukielinen versio
on uudempi kuin käännös, se on viimeksi päivitetty 31. maaliskuuta 2012
|
|
Donate to support our development efforts.
|
|
|
