Lorsque vous montez des partitions ext2, ext3 ou reiserfs, vous pouvez appliquer plusieurs options au fichier /etc/fstab. Voici leurs descriptions :
Ces paramètres peuvent malheureusement être facilement contournés en utilisant un chemin indirect. Vous pourrez néanmoins, en activant l'option noexec pour /tmp, arrêter la plupart des « exploits » conçus pour être exécutés à partir de /tmp .
Exemple de code 1.1 : /etc/fstab |
/dev/sda1 /boot ext2 noauto,noatime 1 1 /dev/sda2 none swap sw 0 0 /dev/sda3 / reiserfs notail,noatime 0 0 /dev/sda4 /tmp ext3 noatime,nodev,nosuid,noexec 0 0 /dev/sda5 /var ext3 noatime,nodev 0 0 /dev/sda6 /home ext3 noatime,nodev,nosuid 0 0 /dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0 /dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0 proc /proc proc defaults 0 0 |
Attention : Mettre /tmp en mode noexec peut empêcher le fonctionnement de certains scripts. |
Note : Pour les quotas de disque, voir la (section sur les quotas). |
Note : Notez que je ne mets pas le répertoire /var en mode noexec ou nosuid, même si les fichiers ne sont jamais exécutés depuis ce point de montage. La raison principale tient au fait que netqmail est installé dans /var/qmail et doit être autorisé à exécuter et à manipuler un fichier SUID. Je paramètre /usr en mode lecture seulement (« read-only ») étant donné que je n'y écris jamais sauf pour mettre à jour Gentoo. Je remonte alors le système de fichiers en mode lecture-écriture (« read-write »), je procède à la mise à jour et je remonte le système en lecture seulement. |
Note : Même si vous n'utilisez pas netqmail, Gentoo a besoin que /var/tmp soit exécutable, étant donné que les ebuilds sont construits dans ce répertoire. Vous pouvez toutefois paramétrer un chemin différent si vous tenez absolument à mettre /var en mode noexec. |