Créer / home / tmp noexec nodev sans patience distincte

J'ai besoin de modifier certaines options de assembly pour des parties du système de files racine, telles que / tmp / var et / home (append nodev, nosuid et quota), mais je n'ai pas la possibilité de faire une partition séparée et je n'ai pas assez de RAM pour mount / tmp comme tmpfs. J'ai essayé mount -o bind, noexec, nodev, nosuid / tmp / tmp, mais cela ne semble pas fonctionner, car après cela, je peux toujours exécuter des files de / tmp et faire un signe de tête sur ce dernier. Est-ce qu'il y a d'autres moyens de le faire?

One Solution collect form web for “Créer / home / tmp noexec nodev sans patience distincte”

Vous pouvez remonter / tmp avec bind et noexec, nodev, nosuid options mais pas en une seule étape. En raison de certaines limitations de la couche VFS du kernel linux, vous devez d'abord lisser-monter, puis remonter avec les options appropriées.

root@utemp:/# /tmp/test.sh uid=0(root) gid=0(root) groups=0(root) root@utemp:/# mount -o bind,noexec /tmp /tmp root@utemp:/# ./tmp/test.sh uid=0(root) gid=0(root) groups=0(root) root@utemp:/# umount /tmp root@utemp:/# mount -o bind /tmp /tmp root@utemp:/# mount -o remount,noexec /tmp root@utemp:/# ./tmp/test.sh bash: ./tmp/test.sh: Permission denied root@utemp:/# umount /tmp 

C'est incommode – au lieu d'une ligne dans / etc / fstab, vous devez appeler un script avec deux commands de assembly par directory pendant le démarrage du système.

Plus d'informations dans cet article LWN . Dans le kernel ancien, cela ne fonctionnerait pas – le sharepoint assembly liant a toujours les mêmes options de assembly que le système de files sous-jacent.

  • Comment utiliser l'authentification de base pour un seul file dans le directory Apache interdit par ailleurs?
  • Existe-t-il un égaliseur SSL pour un agent ssh?
  • Plesk HTTPS problèmes de configuration et de directory
  • Auditctl - filtrage des messages cron
  • IIS délégué les pouvoirs
  • Pourquoi devrais-je garder l'user root si je ne suis pas censé l'utiliser?
  • Réseau de personnel privé au sein du réseau public
  • Comment sécuriser vos ordinateurs portables?
  • UAC dans un environnement Active Directory
  • Quels sont les files journaux importants à surveiller à des fins de security sur un server Web?
  • Qu'est-ce qu'une «request» dans le context des certificates SSL et comment puis-je en get un?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.