Файловата система Ограничения

Един важен елемент от защитата на компютърната среда са опции, за да бъдат уточнени при монтаж местни файлови системи. Причината, поради която вие създавате множество файлови системи, е да се разделят контрола на достъпа до средата на stvom-опциите на командата хълма в файл / и т.н. / fstab.

Стандартни съдържанието на файла / и т.н. / fstab показано по-долу. Подробното описание на синтаксиса, този файл може да се намери в документацията.

По-долу са описани редица разположение за селекция опции в четвъртото поле (те могат да бъдат определени в командния ред, повикването за монтиране чрез -o флаг). Тези опции са важни от гледна точка на безопасността.

• по подразбиране - поставя стандарт за монтиране възможности: RW (четене / запис), SUID (разрешено да използва SUID бит и SGID), отклонение (разрешено да създавате файлове характер или за достъп блок устройства), EXEC (можете позволено, допълва програмите), автоматично (позволено да команда за монтиране -а), nouser (пн-Ted файлова система може супер) и асинхронен (ASIN хроно-IO);
• nodev - не създава файлове характер на устройства или блокира достъпа;
• noehes - Не стартиране на програми и скриптове;
• ро - достъп до файловата система е само за четене-;
• потребител - файловата система може да се монтира на крайните потребители. Когато тази опция е включена автоматично noehes, nosuid и nodev, които могат да бъдат обезсилени изрично;
• nosuid - не е позволено да се програмира изпълнение бит, установен SUID и / или SGID;
• noatime - НЕ право да актуализират информацията за времето на достъп до файлове и директории. Тази опция е достъпна във версията на ядрото на 2.2 или по-висока.

Преди инсталиране на системата, трябва да се мисли какво се изисква вид достъп USER-лам. По този начин, става ясно, което следва да се установят файлови системи. Въз основа на това следва да се ръководи от следните правила:

1. Начало директория не трябва да бъде "полигон" за стартиране на програми и скриптове, за да зададете SUID бит. Те не трябва да се съхранява на знаците устройство и блокира достъпа.
2. Всички директории на файловата система, които са достъпни за запис не само суперпотребител трябва да имат най-малко инсталирана опция nosuid. Един такъв файлови системи - / Var.
3. Всяка файлова система, запис, в който се извършва само в редки случаи, трябва да се монтира в "само за четене".

По този начин, ако се върнем към описания по-горе файл / и т.н. / fstab, че има смисъл да се прилага правилото 2 до / Var файлова система и върховенството 1, файловата система / дом. За удобство на потребителя можете да добавите възможност на потребителя да подаде система / MNT / CDROM. Това ще позволи на потребителите да самостоятелно паркиране telno монтира CD-ROM диск, без намесата на суперпотребител. Add-ING ограничения, свързани с потребителската опция, а именно, nosuid и noehes nodev, компенсира това снизхождение.

Да предположим, в / ЮЕсАр файловата система има поддиректории / ЮЕсАр / местни / хамбар и / ЮЕсАр / местни / ИЪ, които съдържат изпълними файлове и библиотеки, използвани от много потребители. Ако тези файлове се променят рядко, можете да създадете отделна файлова система / ЮЕсАр / местни / хамбар и / ЮЕсАр / местни / ИЪ, монтиран с ро на опцията. При възникване на необходимостта да се правят промени, е необходимо да се монтира файловата система с RW опцията (вероятно в единични Regis-Me). Това потвърждава правилото, което казва, че сигурността се постига чрез изпълнението или използваемостта. Един по-сигурен вариант на файл / и т.н. / fstab ще изглежда така: