Gentoo Logo

1.  Mount-area partiţiilor

Când mount-aţi o partiţie ext2, ext3 sau reiserfs aveţi câteva opţiuni pe care le puteţi aplica în fişierul /etc/fstab. Aceste opţiuni sunt:

  • nosuid - Va ignora bitul SUID şi îl va considera ca pe un fişier obişnuit
  • noexec - Va preveni execuţia fişierelor de pe această partiţie
  • nodev - Ignoră fişierele dispozitiv

Din păcate, aceste setări pot fi înşelate cu uşurinţă prin execuţia unei căi indirecte. Oricum, setarea /tmp ca noexec va opri majoritatea aplicaţiilor exploit să fie executate direct din /tmp.

Cod 1.1: /etc/fstab

/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp reiserfs notail,noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var reiserfs notail,noatime,nodev 0 0
/dev/sda6 /home reiserfs notail,noatime,nodev,nosuid 0 0
/dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0

Atenţie: Setarea /tmp în modul noexec poate opri execuţia corectă a unor script-uri.

Notă: Pentru cote de disc, consultaţi (secţiunea despre Cote).

Notă: Personal, nu setez /var ca noexec sau nosuid, chiar dacă fişierele normale nu sunt executate din acest director de mount. Motivul este faptul că netqmail este instalat în /var/qmail şi îi trebuie permisă execuţia şi accesarea unui fişier SUID. În schimb, setez /usr doar pentru citire (eng. read-only) deoarece nu scriu niciodată în această locaţie, decât când actualizez Gentoo. Apoi, remount-ez sistemul de fişiere şi pentru scriere (eng. read-write), îl actualizez şi îl remount-ez încă o dată.

Notă: Chiar dacă nu utilizaţi netqmail, Gentoo tot mai necesită bitul pentru execuţie setat pentru /var/tmp doarece pachetele ebuild sunt compilate în această locaţie. În schimb, o cale alternativă poate fi setată dacă insistaţi să aveţi /var mount-at în modul noexec.

Actualizat la 31 Mai 2005

Versiunea originală a acestui document a fost actualizată ultima dată la 31 Martie 2012

Donate to support our development efforts.

Copyright 2001-2012 Gentoo Foundation, Inc. Questions, Comments? Contact us.