Go to content Go to navigation Go to search

: Sikkerhedstip: Mount datapartitioner med noexec, nodev og nosuid

2007-05-15 22:15 af Thomas Damgaard Nielsen -

Hvis du på din unix-maskine har partitioner, hvor der kun er data, bør du overveje at anvende noexec, nodev og nosuid mount-options.

Forklaringer på disse options fra man mount:
nodev: Do not interpret character or block special devices on the file system.

nosuid: Do not allow set-user-identifier or set-group-identifier bits to take effect. (This seems safe, but is in fact rather unsafe if you have suidperl(1) installed.)

noexec: Do not allow direct execution of any binaries on the mounted file system. (Until recently it was possible to run binaries anyway using a command like /lib/ld*.so /mnt/binary. This trick fails since Linux 2.4.25 / 2.6.0.)

Anvendelser
nodev: Du kan anvende nodev alle steder, hvor der ikke bør kunne oprettes en device-fil. Det gælder for stort set alle andre steder end /dev.

nosuid: Du kan anvende nosuid alle steder, hvor der ikke er nogen suid-binaries. Det burde bl.a. gælde for følgende partitioner på de fleste systemer:

  • /tmp
  • /var
  • /home

noexec: Du kan anvende noexec alle steder, hvor der ikke er nogen eksekverbare filer. Det gælder for alle partitioner, hvor der kun er data. F.eks. /tmp eller FTP-roden på et system, jeg satte op for nylig.

Sådan gør du
Du tilføjer blot de options, du har brug for i din /etc/fstab. Herefter remountes partitionen ved at skrive:

sudo mount -o remount /partition

hvor /partition er stien på den partition, du vil remounte.

Kommentarer

  Textile hjælp