Gentoo Logo

1.  Монтирование разделов

При монтировании разделов с файловой системой ext2, ext3 или reiserfs можно указать различные параметры в файле /etc/fstab. Среди них:

  • nosuid — игнорировать установленный для файла бит SUID, уподобляя его обычному файлу
  • noexec — предотвращать запуск файлов с данного раздела
  • nodev — игнорировать файлы устройств

К сожалению, эти настройки можно легко обойти, задействовав косвенные пути. Тем не менее, установкой noexec для /tmp можно воспрепятствовать использованию большинства вредоносных программ, разработанных для запуска напрямую из каталога /tmp.

Листинг 1.1: /etc/fstab

/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp reiserfs notail,noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var reiserfs notail,noatime,nodev 0 0
/dev/sda6 /home reiserfs notail,noatime,nodev,nosuid 0 0
/dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0

Предупреждение: Установка /tmp в режим noexec может помешать нормальной работе различных сценариев.

Примечание: За сведениями о дисковых квотах обращайтесь к разделу (квоты).

Примечание: Я не устанавливаю для /var параметры noexec или nosuid, даже если обычно файлы никогда не запускаются из этого каталога, так как netqmail устанавливается в /var/qmail и требует разрешения на исполнение и доступ к одному файлу с SUID. Я устанавливаю /usr в режим только для чтения, так как я никогда ничего не записываю туда, кроме случая обновления Gentoo. Тогда я перемонтирую файловую систему в режиме чтения-записи, обновляю систему и перемонтирую обратно в режиме только для чтения.

Примечание: Даже если вы не используете netqmail, Gentoo все же нужен установленный бит исполнения для /var/tmp, так поскольку сборка ebuild выполняется именно здесь. Но если у вас есть насущная необходимость монтировать каталог /var с параметром noexec, можно указать для этого альтернативный путь.

Обновлено 31 мая 2005

Исходный документ обновлен 31 марта 2012

Donate to support our development efforts.

Copyright 2001-2012 Gentoo Foundation, Inc. Questions, Comments? Contact us.