Gentoo Logo

[ << ] [ < ] [ Home ] [ > ] [ >> ]


4. Montare le partizioni

4.a. Montare partizioni

Quando si monta una partizione ext2, ext3, o reiserfs, si hanno diverse opzioni che si possono applicare nel file /etc/fstab. Le opzioni sono:

  • nosuid - Ignora il SUID bit e lo rende proprio come un file ordinario
  • noexec - Impedisce l'esecuzione di file da questa partizione
  • nodev - Ignora i dispositivi

Sfortunatamente queste impostazioni possono essere facilmente eluse eseguendo un percorso non diretto. Tuttavia, impostare /tmp a noexec bloccherà la maggior parte degli exploit progettati per essere eseguiti direttamente da /tmp.

Codice 1.1: /etc/fstab

/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp reiserfs notail,noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var reiserfs notail,noatime,nodev 0 0
/dev/sda6 /home reiserfs notail,noatime,nodev,nosuid 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0

Avvertenza: Mettere /tmp in modalità noexec può impedire la corretta esecuzione di alcuni script.

Nota: Per la quote disco vedere la sezione sulle quote.

Nota: Non si imposta /var a noexec o nosuid, anche se di solito nessun file viene eseguito da questo mount point. La ragione è che netqmail viene installato in /var/qmail e deve essergli consentito di eseguire e di accedere a un SUID file. Si configura /usr in modalità read-only, dato che non si scrive mai nulla là, a meno che non si voglia aggiornare Gentoo. In questo caso si rimonta il filesystem in modalità read-write, si aggiorna il sistema e si rimonta di nuovo.

Nota: Anche se non si usa netqmail, Gentoo ha bisogno lo stesso del bit eseguibile impostato su /var/tmp, dato che gli ebuild vengono compilati qui. Ma può sempre essere configurato un percorso alternativo, se proprio si vuole montare /var in modalità noexec.


[ << ] [ < ] [ Home ] [ > ] [ >> ]


Stampa

Visualizza tutto

Aggiornato il 31 marzo 2012

Oggetto: /etc/fstab fornisce molte opzioni per la sicurezza.

Kim Nielsen
Autore

John P. Davis
Redazione

Eric R. Stockbridge
Redazione

Carl Anderson
Redazione

Jorge Paulo
Redazione

Sven Vermeulen
Redazione

Benny Chuang
Redazione

Sune Jeppesen
Redazione

Tiemo Kieft
Redazione

Zack Gilburd
Redazione

Dan Margolis
Redazione

Joshua Saddler
Redazione

Stefano Pacella
Traduzione

Cristiano Chiucchiolo
Traduzione

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.