Стандартные параметры монтирования

Устанавливает стандартные параметры монтирования: rw (чтение/запись), suid (разрешается использование битов SUID и SGID), dev (разрешается создавать файлы устройств символьного или блочного доступа), exec (разрешается выполнение программ), auto (разрешается команда mount a), nouser (монтировать файловую систему может только суперпользователь) и async (асинхронный вводвывод)

Запрещается создавать файлы устройств символьного или блочного доступа Запрещается выполнять программы и сценарии Доступ к файловой системе только для чтения

Файловую систему могут монтировать рядовые пользователи. При этом автоматически включаются опции noexec, nosuid и nodev, которые можно переопределить явным образом

defaults

nodev

noexec

го

user

nosuid noatime

Опция

Описание

Не разрешается выполнение программ с установленным битом SUID и/или SGID Не разрешается обновлять информацию о времени доступа к файлам и каталогам. Эта опция доступна в ядре версии 2.2.x и выше

Прежде чем инсталлировать систему, подумайте, какой доступ необходим пользователям. Тем самым станет понятно, какие файловые системы следует создать. Руководствуйтесь следующими правилами.

1. Начальные каталоги пользователей не должны быть "полигоном" для запуска программ и сценариев с установленным битом SUID. В них не должны храниться файлы устройств символьного и блочного доступа.

2. Любая файловая система, каталоги которой доступны для записи не только суперпользователю, должна как минимум иметь установленной опцию nosuid. Одна из таких файловых систем — /var.

Мини-картинка

3. Любая файловая система, запись в которую осуществляется лишь изредка, должна монтироваться в режиме "только для чтения".

Рассмотрим листинг 4.6. Следует применить правило 2 к файловой системе /var и правило 1 к файловой системе /home. Для удобства пользователей можно добавить опцию user к файловой системе /mnt/cdrom. Это позволит пользователям самостоятельно монтировать дисковод CDROM без вмешательства суперпользователя. Дополнительные ограничения, связанные с опцией user, а именно nosuid, noexec и nodev, компенсируют данное послабление.

Предположим, в файловой системе /usr есть подкаталоги /usr/local/bin и /usr/local/lib, которые содержат исполняемые файлы и библиотеки, используемые многими пользователями. Если эти файлы меняются нечасто, можно создать отдельные файловые системы /usr/local/bin и /usr/local/lib, монтируемые с опцией го (листинг 4.7). Когда возникнет необходимость внести какиелибо изменения, придется смонтировать файловую систему с опцией rw (возможно, в однопользовательском режиме). Это подтверждает правило, гласящее, что безопасность достигается за счет производительности или удобства работы.

Листинг 4.7. Более безопасная версия файла /etc/f stab

/dev/hdal / ext3 defaults 1 1

/dev/hdb4 /usr/local/bin ext3 ro,nosuid 1 2

/dev/hdb9 /usr/local/lib ext3 ro,nosuid 1 2

/dev/hda5 /usr ext3 defaults 1 2

/dev/hdbl /home ext3 noexec,nodev,nosuid 1 2

/dev/hda6 /var ext3 nosuid 1 2

/dev/hda7 swap swap defaults 0 0

/dev/fdO /mnt/floppy ext3 noauto 0 0

/dev/cdrom /mnt/cdrom iso9660 noauto,ro,user 0 0

none /proc proc defaults 0


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок