Sikkerhed: Sikkerhedstip: Mount datapartitioner med noexec, nodev og nosuid
2007-05-15 22:15 af Thomas Damgaard Nielsen -
Hvis du på din unix-maskine har partitioner, hvor der kun er data, bør du overveje at anvende noexec, nodev og nosuid mount-options.
Forklaringer på disse options fra man mount:
nodev: Do not interpret character or block special devices on the file system.
nosuid: Do not allow set-user-identifier or set-group-identifier bits to take effect. (This seems safe, but is in fact rather unsafe if you have suidperl(1) installed.)
noexec: Do not allow direct execution of any binaries on the mounted file system. (Until recently it was possible to run binaries anyway using a command like /lib/ld*.so /mnt/binary. This trick fails since Linux 2.4.25 / 2.6.0.)
Anvendelser
nodev: Du kan anvende nodev alle steder, hvor der ikke bør kunne oprettes en device-fil. Det gælder for stort set alle andre steder end /dev.
nosuid: Du kan anvende nosuid alle steder, hvor der ikke er nogen suid-binaries. Det burde bl.a. gælde for følgende partitioner på de fleste systemer:
- /tmp
- /var
- /home
noexec: Du kan anvende noexec alle steder, hvor der ikke er nogen eksekverbare filer. Det gælder for alle partitioner, hvor der kun er data. F.eks. /tmp eller FTP-roden på et system, jeg satte op for nylig.
Sådan gør du
Du tilføjer blot de options, du har brug for i din /etc/fstab. Herefter remountes partitionen ved at skrive:
sudo mount -o remount /partition
hvor /partition er stien på den partition, du vil remounte.
Kommentarer
Indsigtsfuldt essay om Big Brother Ting man gør efter installation af Kubuntu Feisty Fawn