Gentoo Logo

1.  Montage des partitions

Lorsque vous montez des partitions ext2, ext3 ou reiserfs, vous pouvez appliquer plusieurs options au fichier /etc/fstab. Voici leurs descriptions :

  • nosuid - Ignore l'option SUID et considère chaque fichier comme un fichier ordinaire.
  • noexec - Interdit l'exécution de tout fichier à partir de cette partition.
  • nodev - Ne tient pas compte des « devices ».

Ces paramètres peuvent malheureusement être facilement contournés en utilisant un chemin indirect. Vous pourrez néanmoins, en activant l'option noexec pour /tmp, arrêter la plupart des « exploits » conçus pour être exécutés à partir de /tmp .

Exemple de code 1.1 : /etc/fstab

/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp ext3 noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var ext3 noatime,nodev 0 0
/dev/sda6 /home ext3 noatime,nodev,nosuid 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0

Attention : mettre /tmp en mode noexec peut empêcher le fonctionnement de certains scripts.

Note : pour les quotas de disque, voir la (section sur les quotas).

Note : notez qu'on ne met pas le répertoire /var en mode noexec ou nosuid, même si les fichiers ne sont jamais exécutés depuis ce point de montage. La raison principale tient au fait que netqmail est installé dans /var/qmail et doit être autorisé à exécuter et à manipuler un fichier SUID. On paramètre /usr en mode lecture seulement (« read-only ») étant donné qu'on n'y écrit jamais sauf pour mettre à jour Gentoo. On remonte alors le système de fichiers en mode lecture-écriture (« read-write »), on procède à la mise à jour et on remonte le système en lecture seulement.

Note : même si vous n'utilisez pas netqmail, Gentoo a besoin que /var/tmp soit exécutable, étant donné que les ebuilds sont construits dans ce répertoire. Vous pouvez toutefois paramétrer un chemin différent si vous tenez absolument à mettre /var en mode noexec.

Dernière mise à jour le 31 mars 2012

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.