Gentoo Logo

1.  Montowanie partycji

Podczas montowania partycji ext2, ext3 lub reiserfs mamy do dyspozycji szereg, ważnych z punktu widzenia bezpieczeństwa, opcji. Są to:

  • nosuid - ignoruje wszystkie bity SUID, przez co wszystkie pliki z nimi będą traktowane jakby ich nie miały.
  • noexec - uniemożliwia uruchomienie jakiegokolwiek programu z tej partycji.
  • nodev - ignoruje urządzenia.

Niestety te ustawienia można w łatwy sposób obejść poprzez użycie pośredniej ścieżki. Mimo wszystko jednak ustawienie /tmp na noexec uniemożliwi wykonanie większości exploitów zaprojektowanych tak, aby zostały wykonane właśnie tam.

Listing 1.1: /etc/fstab

/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp reiserfs notail,noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var reiserfs notail,noatime,nodev 0 0
/dev/sda6 /home reiserfs notail,noatime,nodev,nosuid 0 0
/dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0

Ostrzeżenie: Przełączenie /tmp w tryb noexec uniemożliwi prawidłowe wykonanie niektórych skryptów.

Uwaga: Więcej informacji o quotach znajduje się w (sekcji Quota).

Uwaga: Osobiście nie ustawiam /var jako noexec i nosuid, nawet jeśli żadne pliki nie są normalnie stamtąd wykonywane. Powodem tego jest fakt, że w /var/qmail mam zainstalowany netqmail, który musi mieć możliwość uruchomienia się z bitem SUID. Partycję /usr przestawiam na read-only, ponieważ nigdy nic tam nie zapisuję, chyba, że akurat uaktualniam Gentoo. W takich wypadkach przemontowuję tą partycję w tryb do zapisu, uaktualniam system i znów przestawiam ją na 'tylko do odczytu'.

Uwaga: Nawet jeśli nie używa się netqmail, Gentoo wciąż będzie potrzebowało możliwości uruchamiania programów w /var/tmp ponieważ są tam tworzone pliki ebuild. Można zmienić tą ścieżkę jeśli koniecznie chce się montować /var jako noexec.

Zaktualizowano 31 maja 2005

Oryginalna wersja tego dokumentu została po raz ostatni zaktualizowana 31 marca 2012. Jeśli chcesz pomóc w aktualizacji tego dokumentu do najnowszej wersji, skontaktuj się z Łukaszem Damentko, koordynatorem polskiego projektu tłumaczeń dokumentacji Gentoo.

Donate to support our development efforts.

Copyright 2001-2012 Gentoo Foundation, Inc. Questions, Comments? Contact us.