Gentoo Logo

1.  Montare partizioni

Quando si monta una partizione ext2, ext3, o reiserfs, si hanno diverse opzioni che si possono applicare nel file /etc/fstab. Le opzioni sono:

  • nosuid - Ignora il SUID bit e lo rende proprio come un file ordinario
  • noexec - Impedisce l'esecuzione di file da questa partizione
  • nodev - Ignora i dispositivi

Sfortunatamente queste impostazioni possono essere facilmente eluse eseguendo un percorso non diretto. Tuttavia, impostare /tmp a noexec bloccherà la maggior parte degli exploit progettati per essere eseguiti direttamente da /tmp.

Codice 1.1: /etc/fstab

/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp reiserfs notail,noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var reiserfs notail,noatime,nodev 0 0
/dev/sda6 /home reiserfs notail,noatime,nodev,nosuid 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0

Avvertenza: Mettere /tmp in modalità noexec può impedire la corretta esecuzione di alcuni script.

Nota: Per la quote disco vedere (la sezione sulle quote).

Nota: Non si imposta /var a noexec o nosuid, anche se di solito nessun file viene eseguito da questo mount point. La ragione è che netqmail viene installato in /var/qmail e deve essergli consentito di eseguire e di accedere a un SUID file. Si configura /usr in modalità read-only, dato che non si scrive mai nulla là, a meno che non si voglia aggiornare Gentoo. In questo caso si rimonta il filesystem in modalità read-write, si aggiorna il sistema e si rimonta di nuovo.

Nota: Anche se non si usa netqmail, Gentoo ha bisogno lo stesso del bit eseguibile impostato su /var/tmp, dato che gli ebuild vengono compilati qui. Ma può sempre essere configurato un percorso alternativo, se proprio si vuole montare /var in modalità noexec.

Aggiornato il 31 marzo 2012

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.