|
1.
Montage des partitions
Lorsque vous montez des partitions ext2, ext3 ou reiserfs,
vous pouvez appliquer plusieurs options au fichier /etc/fstab.
Voici leurs descriptions :
-
nosuid - Ignore l'option SUID et considère chaque fichier comme
un fichier ordinaire.
-
noexec - Interdit l'exécution de tout fichier à partir de cette
partition.
-
nodev - Ne tient pas compte des « devices ».
Ces paramètres peuvent malheureusement être facilement contournés en utilisant
un chemin indirect. Vous pourrez néanmoins, en activant l'option noexec pour
/tmp, arrêter la plupart des « exploits » conçus pour
être exécutés à partir de /tmp .
Exemple de code 1.1 : /etc/fstab |
/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp ext3 noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var ext3 noatime,nodev 0 0
/dev/sda6 /home ext3 noatime,nodev,nosuid 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0
|
Attention :
mettre /tmp en mode noexec peut empêcher le fonctionnement
de certains scripts.
|
Note :
pour les quotas de disque, voir la (section sur les quotas).
|
Note :
notez qu'on ne met pas le répertoire /var en mode noexec
ou nosuid, même si les fichiers ne sont jamais exécutés depuis ce point
de montage. La raison principale tient au fait que netqmail est installé dans
/var/qmail et doit être autorisé à exécuter et à manipuler un
fichier SUID. On paramètre /usr en mode lecture seulement
(« read-only ») étant donné qu'on n'y écrit jamais sauf pour mettre à
jour Gentoo. On remonte alors le système de fichiers en mode lecture-écriture
(« read-write »), on procède à la mise à jour et on remonte le système
en lecture seulement.
|
Note :
même si vous n'utilisez pas netqmail, Gentoo a besoin que /var/tmp
soit exécutable, étant donné que les ebuilds sont construits dans ce
répertoire. Vous pouvez toutefois paramétrer un chemin différent si vous tenez
absolument à mettre /var en mode noexec.
|
|
