|
1.
Mounten van partitions
Wanneer we een ext2, ext3 of een reiserfs partitie mounten kan je verschillende
opties meegeven in /etc/fstab. Deze zijn:
-
nosuid - Pas de SUID bit niet toe en maak van het programma een ordinair
programma.
-
noexec - Zorgt ervoor dat geen bestanden van deze partitie uitgevoerd kunnen
worden.
-
nodev - Negeer apparaatbestanden op deze partitie.
Jammergenoeg kunnen deze instellingen gemakkelijk omzeild worden door een
niet-direct pad mee te geven. Het instellen van noexec op /tmp zal toch 99% van
de scriptkiddies tegenhouden aangezien hun exploits gemaakt zijn om uitgevoerd
te voeren vanuit /tmp.
Codevoorbeeld 1.1: /etc/fstab |
/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp reiserfs notail,noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var reiserfs notail,noatime,nodev 0 0
/dev/sda6 /home reiserfs notail,noatime,nodev,nosuid 0 0
/dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0
/dev/cdroms /cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0
|
Waarschuwing:
/tmp met noexec mounten kan verhinderen dat sommige scripts
correct uitgevoerd worden!
|
Nota:
Disk quotas worden in een ander hoofdstuk besproken
|
Merk op dat we /var niet met noexec of nosuid mounten, ook al zijn
bestanden daarin normaal gezien niet uitvoerbaar. De reden hievoor is dat netqmail
geinstalleerd wordt in /var/qmail en de mogelijkheid moet hebben
om 1 suid file aan te passen en uit te voeren.
We maken van /usr wel een read-only partitie aangezien daar nooit
naartoe moet geschreven worden, tenzij om Gentoo up te daten. Dan mounten we
/usr eventjes in lees-schrijf mode, updaten en hermounten we ze
opnieuw in alleen-lezen.
Nota:
Zelfs indien je netqmail niet gebruikt, vereist Gentoo nog steeds de executable
bit op /var/tmp aangezien ebuilds daarin gecompileerd worden. Een
alternatief pad kan ingegeven worden indien je werkelijk /var met
noexec wil mounten.
|
|
