File System Korlátozások

Ennek egyik fontos eleme a számítógépes környezet védelme olyan lehetőségek meghatározandó felszerelésekor a helyi fájlrendszerben. Ennek az az oka, hogy hozzon létre több fájlrendszerben, hogy elválassza a hozzáférés ellenőrzése, hogy a közepén a stvom-lehetőségek a mount parancs az / etc / fstab.

Normál tartalmát / etc / fstab alább látható. A részletes leltár a szintaxis, a fájl megtalálható a dokumentációban.

Az alábbiakban bemutatjuk, számos lehetőség közül választhatunk a negyedik mezőben (ők is meg lehet határozni a parancssori hívásnál mount -o zászló). Ezek a lehetőségek fontosak biztonsági szempontból.

• alapértelmezett - állítja a standard csatolási opciók: rw (írás / olvasás), suid (használata engedélyezett SUID bit és SGID) dev (hagyjuk fájlok létrehozására karaktert vagy blokkolja a hozzáférést eszközök), exec (megengedett akkor, kiegészíti a programok), auto (hagyjuk a mount parancsot -a), nouser (Mon-ted fájlrendszer superuser) és aszinkron (asin Chrono-IO);
• nodev - nem hoz létre egy karaktert eszköz fájlokat vagy blokkolja a hozzáférést;
• noehes - Ne fuss programok és szkriptek;
• ro - hozzáférés a fájlrendszer csak olvasható;
• felhasználó - a fájlrendszer lehet szerelni a végfelhasználók számára. Ha ez az opció automatikusan bekerül noehes, nosuid és nodev, ami felübírálható kifejezetten;
• nosuid - nem engedélyezett programok végrehajtásával bit suid és / vagy SGID;
• noatime - NEM megengedett, hogy frissítse a tájékoztatás időpontjában hozzáférés fájlokat és könyvtárakat. Ez az opció a kernel verziója 2.2 vagy magasabb.

Mielőtt telepítené a rendszert, meg kell gondolni, hogy milyen kapcsolat szükséges felhasználói-lam. Így világossá válik, hogy mely fájlrendszereket kell megállapítani. Ennek alapján kell vezérelnie az alábbi szabályokat:

1. Home könyvtár nem lehet „kísérleti terepet” futtatni programok és scriptek beállítani a SUID bit. Ezeket nem szabad tárolni jellegű eszköz fájlt és blokkolja a hozzáférést.
2. Bármilyen fájlrendszer könyvtárak, amelyek rögzítésére rendelkezésre álló nem csak a rendszergazda kell legalább telepített opció nosuid. Az egyik ilyen fájlrendszerek - / var.
3. Bármilyen fájlrendszert, egy bejegyzés, amely végzik csak ritkán kell szerelni, „read-only”.

Így ha megy vissza a fent leírt / etc / fstab, akkor van értelme a szabály alkalmazása 2 a / var fájlrendszer és 1. szabály, hogy a fájlrendszer / home. A felhasználók kényelmét, felveheti a felhasználói beállítások fájlrendszer / mnt / cdrom. Ez lehetővé teszi a felhasználók számára, hogy egyéni parkolás-telno szerelt CD-ROM-meghajtó beavatkozása nélkül a superuser. Add-nek korlátozások társított felhasználói lehetőség, nevezetesen nosuid és noehes nodev, kompenzálni ezt a kényeztetés.

Tegyük fel, hogy a / usr fájlrendszer alkönyvtárak / usr / local / bin és a / usr / local / lib, amelyek futtatható fájlok és könyvtárak által használt sok felhasználó. Ha ezek a fájlok megváltoztak ritkán, akkor létrehozhat egy külön fájlrendszer / usr / local / bin és a / usr / local / lib szerelt a lehetőséget ro. Ha a szükség úgy kívánja, hogy bármilyen változás, meg kell csatlakoztatni a fájlrendszer a lehetőséget rw (esetleg egyetlen Regis-én). Ez megerősíti a szabályt, amely azt mondja, hogy a biztonság érhető el a teljesítmény, illetve a használhatóság. Egy biztonságosabb változata a / etc / fstab nézne: