|
1.
Montando partições
Na hora de montar uma partição ext2, ext3, ou reiserfs, você
tem várias opções que pode aplicar ao arquivo /etc/fstab. As
opções são:
-
nosuid - Irá ignorar o bit de SUID e tratá-lo como um
arquivo normal
-
noexec - Irá prevenir a execução de arquivos da partição
-
nodev - Ignora dispositivos
Infelizmente, esses ajustes podem ser facilmente contornados ao executar um
caminho não direto. No entanto, configurando /tmp para noexec irá parar
a maioria dos exploits desenhados para serem executados diretamente de /tmp.
Listagem de código 1.1: /etc/fstab |
/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp reiserfs notail,noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var reiserfs notail,noatime,nodev 0 0
/dev/sda6 /home reiserfs notail,noatime,nodev,nosuid 0 0
/dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0
|
Aviso:
Colocar /tmp como modo noexec pode impedir que certos scripts
executem adequadamente.
|
Nota:
Para cotas de disco veja (a seção de cotas).
|
Nota:
Eu não configurei /var como noexec ou nosuid, mesmo se arquivos
são normalmente executados deste ponto de montagem. A razão para isso é que o
netqmail está instalado em /var/qmail e precisa poder executar
e acessar um arquivo SUID. Eu configurei /usr em modo de somente leitura já que eu
nunca escrevo nada ali a menos que queira atualizar o Gentoo. Então eu re-monto o
sistema de arquivos em modo de leitura-escrita, atualizo e re-monto novamente.
|
Nota:
Mesmo se você não usa netqmail, o Gentoo ainda precisa de bit executável em
/var/tmp já que as ebuilds são construídas lá. Mas um caminho alternativo pode
ser configurado se você insiste em ter /var montada em modo
noexec.
|
|
