|
1.
パーティションのマウント
ext2、ext3、あるいはreiserfsのパーティションをマウントしているなら、
/etc/fstabにいくつかのオプションを設定することができます。
以下がそのオプションです。
-
nosuid - SUIDビットを無視して、通常のファイルと同様に扱う
-
noexec - このパーティションからのファイルの実行を防ぐ
-
nodev - デバイスを無視する
残念ながら、間接的に実行する事でこれらの設定は簡単に回避されます。
しかしながら、/tmpに noexec を設定することで、/tmpから直接実行するように設計されている多くのexploitsを防ぐでしょう。
コード表示 1.1: /etc/fstab |
/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp reiserfs notail,noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var reiserfs notail,noatime,nodev 0 0
/dev/sda6 /home reiserfs notail,noatime,nodev,nosuid 0 0
/dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0
|
警告:
/tmpをnoexecに設定しておく事は、特定のスクリプトの実行を適切に防ぐ事ができます。
|
注意:
Quotaについては、(Quotaの節)を御覧ください。
|
注意:
私はファイルが/varで実行されることがなくても、このマウントポイントにはnoexecやnosuidを設定しません。
この理由は、netqmailが/var/qmailにインストールされ、ファイルを実行したり、SUIDされたあるファイルへのアクセスを許可する必要があるからです。
また私は/usrはリードオンリーでマウントし、Gentooをアップデートしたい場合を除いては、決して書き込みをしません。
Gentooをアップデートしたい場合は、読み書きモードでマウントし直してアップデートを行い、再びリードオンリーでマウントします。
|
注意:
netqmailを使わない場合であっても、Gentooは/var/tmpにebuildを作るために実行属性が必要です。
どうしても/varをnoexecモードでマウントしたい場合は、代わりのパスを設定することができます。
|
|
