Fișier Restricții de sistem

Un element important al protecției mediului de calcul sunt opțiuni pentru a fi specificate la montarea unui sistem de fișiere locale. Motivul pentru care creați mai multe sisteme de fișiere, este de a separa controlul accesului la mijlocul stvom-opțiuni ale comenzii mount în fișierul / etc / fstab.

conținutul standard de fișier / etc / fstab prezentate mai jos. Un inventar detaliat al sintaxei, acest fișier poate fi găsit în documentație.

Ceea ce urmează descrie o serie de opțiuni disponibile pentru selecție în al patrulea domeniu (acestea pot fi specificate în linia de comandă apel prin montura pavilion o-). Aceste opțiuni sunt importante din punct de vedere de siguranță.

• implicite - stabilește standardul de opțiuni de montare: RW (citire / scriere), suid (permisiunea de a utiliza biți SUID și SGID), dev (permis pentru a crea dispozitive fișiere de caractere sau de acces bloc), Exec (ai permis, completează programele), auto (permis de a comanda mount -a), nouser (Mon-ted sistem de fișiere pot superuser) și asincronă (asin Chrono-IO);
• nodev - să nu creeze un dispozitiv de fișiere caracter sau bloc de acces;
• noehes - Nu rula programe și script-uri;
• ro - accesul la sistemul de fișiere este doar pentru citire;
• utilizator - sistemul de fișiere pot fi montate utilizatorii finali. Atunci când această opțiune este inclusă automat noehes, nosuid și nodev, care poate fi anulat în mod explicit;
• nosuid - nu este permis să programeze biți de execuție set SUID și / sau SGID;
• noatime - NU este permis să actualizeze informațiile cu privire la timpul de acces la fișiere și directoare. Această opțiune este disponibilă în versiunea de nucleu de 2,2 sau mai mare.

Înainte de a instala sistemul, trebuie să se gândească ce fel de acces necesar USER-lam. Astfel, devine clar care ar trebui stabilite sisteme de fișiere. Bazat pe acest lucru ar trebui să se ghideze după următoarele reguli:

1. Acasă Director nu ar trebui să fie un „teren de testare“ pentru a rula programe și script-uri pentru a seta bitul SUID. Ele nu ar trebui să fie stocate de fișiere dispozitiv de caracter și să blocheze accesul.
2. Orice directoarele de sistem de fișiere care sunt disponibile pentru înregistrarea nu numai superutilizator ar trebui să aibă opțiunea de cel puțin instalat nosuid. Un astfel de sisteme de fișiere - / var.
3. Orice sistem de fișiere, o intrare în care se efectuează numai rar, ar trebui să fie montat în „read-only“.

Astfel, dacă te duci înapoi la fișierul / etc / fstab descris mai sus, are sens să se aplice regula 2 la sistemul / var fișier și regula 1, sistemul de fișiere / home. Pentru comoditatea utilizatorului, puteți adăuga opțiunea de utilizator la fișierul de sistem / mnt / cdrom. Acest lucru va permite utilizatorilor să se auto-parcare telno unitate CD-ROM montat fără intervenția superuser. Adăugați-ing limitele asociate cu opțiunea de utilizator, și anume, nosuid și noehes nodev, pentru a compensa această indulgență.

Să presupunem că, în sistemul / usr fișierul are subdirectoare / usr / local / bin și / usr / local / lib, care conțin fișiere executabile și biblioteci utilizate de către mai mulți utilizatori. În cazul în care aceste fișiere sunt modificate rar, puteți crea un sistem de fișiere separat / usr / local / bin și / usr / local / lib, montat cu opțiunea ro. Atunci când apare necesitatea de a face orice modificări, este necesar pentru a monta sistemul de fișiere cu opțiunea RW (eventual în single Regis-Me). Aceasta confirmă regula care spune că securitatea este realizată prin performanța sau gradul de utilizare. O versiune mai sigură a fișierului / etc / fstab ar arata ca: