Gentoo Logo

1.  Mounten van partitions

Wanneer we een ext2, ext3 of een reiserfs partitie mounten kan je verschillende opties meegeven in /etc/fstab. Deze zijn:

  • nosuid - Pas de SUID bit niet toe en maak van het programma een ordinair programma.
  • noexec - Zorgt ervoor dat geen bestanden van deze partitie uitgevoerd kunnen worden.
  • nodev - Negeer apparaatbestanden op deze partitie.

Jammergenoeg kunnen deze instellingen gemakkelijk omzeild worden door een niet-direct pad mee te geven. Het instellen van noexec op /tmp zal toch 99% van de scriptkiddies tegenhouden aangezien hun exploits gemaakt zijn om uitgevoerd te voeren vanuit /tmp.

Codevoorbeeld 1.1: /etc/fstab

/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp reiserfs notail,noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var reiserfs notail,noatime,nodev 0 0
/dev/sda6 /home reiserfs notail,noatime,nodev,nosuid 0 0
/dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0
/dev/cdroms /cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0

Waarschuwing: /tmp met noexec mounten kan verhinderen dat sommige scripts correct uitgevoerd worden!

Nota: Disk quotas worden in een ander hoofdstuk besproken

Merk op dat we /var niet met noexec of nosuid mounten, ook al zijn bestanden daarin normaal gezien niet uitvoerbaar. De reden hievoor is dat netqmail geinstalleerd wordt in /var/qmail en de mogelijkheid moet hebben om 1 suid file aan te passen en uit te voeren. We maken van /usr wel een read-only partitie aangezien daar nooit naartoe moet geschreven worden, tenzij om Gentoo up te daten. Dan mounten we /usr eventjes in lees-schrijf mode, updaten en hermounten we ze opnieuw in alleen-lezen.

Nota: Zelfs indien je netqmail niet gebruikt, vereist Gentoo nog steeds de executable bit op /var/tmp aangezien ebuilds daarin gecompileerd worden. Een alternatief pad kan ingegeven worden indien je werkelijk /var met noexec wil mounten.

Upgedate op 31 mei 2005

De originele versie van dit document was laatst geupdate om 31 maart 2012

Donate to support our development efforts.

Copyright 2001-2015 Gentoo Foundation, Inc. Questions, Comments? Contact us.