شما هنوز به سیستم وارد نشده اید.

#1 2019-04-21 18:07:37

PejmanRezai
عضو
ثبت شده: 2018-06-25
ارسال ها: 1

آپشن های مجاز مانت فایل سیستم ها

با سلام
صفحه امنیت ویکی انگلیسی ارچ رو میخوندم. یه قسمت رو درست متوجه نشدم. رو کدوم پارتیشن ها نباید این آپشن ها رو ست کنم توی fstab?
nodev, noexec, nosuid
ممنون

آفلاین

#2 2019-04-22 16:35:35

hurd
عضو
از : همدان
ثبت شده: 2015-12-27
ارسال ها: 144

پاسخ: آپشن های مجاز مانت فایل سیستم ها

سلام
این ها رو برای پاراتیشن روت نباید استفاده کرد یا هر پاراتیشن مهم مثل بوت البته اطیمنان کامل ندارم ولی معنی شون این رو میرسونه


اول قوانین خدا را به طور کامل رعایت کنیم بعد انتظار حمایت کامل رو از خدا داشته باشیم.

آفلاین

#3 2019-04-22 23:57:19

joker
عضو
ثبت شده: 2018-01-24
ارسال ها: 48

پاسخ: آپشن های مجاز مانت فایل سیستم ها

درود
دقیقن این مواردی که بیان کردید بیشتر برمیگرده به امنیت سیستم.

درمورد nosuid:
وقتی شما حافظه ای را با این آپشن mount میکنید درواقع به اون اجازه نمیدید که فایلهایی که دارای پرمیشن s هستند رو اجرا کند. برای کاربر عادی ما پرمیشن تا 777 داریم اما در لینوکس ما تا 6777 میتونیم پرمیشن داشته باشیم و بالای 4000 فایلهایی هستند که پرمیشن s دارند. شما با دستور زیر میتونید فایلهایی که در سیستمتون پرمیشن s دارند رو ببینید و برای سیس ادمینها توصیه میشه که لیست این فایلها را جایی ذخیره کنند و هرچندوقت یکبار با diff تغییرات را چک کنند.


sudo find / -perm /4000

خب مثلن شما میخواید یک فلش مموری رو به سیستمتون وصل کنید، اگر بصورت زیر mount کنید دیگه فایلهای دارای پرمیشن s اجازه ی اجرا ندارند. اگر کسی فایلی s پرمیشن داشته باشد و شما این کار رو نکنید مثلن میتونه به فایل shadow شما دسترسی داشته باشد، که مساوی است با نابودی smile


mount nosuid /dev/sdb1 /mnt

درمورد nodev:
وقتی شما حافظه ای رو با این آپشن mount میکنید درواقع کرنل چک می کند اگر دایرکتوری در آن device file داشته باشد اون را اجرا نمیکند (یعنی اگر فایلی از جنس device بود اون رو اجرا نمیکنه) ، مثلن ممکنه کسی یک فایل به اسم test با پسوند png درست کنه و به شما بگه که یک عکس اما درواقع یک device file است، با دستور زیر میتونه این فایل رو درست کنه:

mknod test.png b 8 1

دستور بالا میگه یک فایل به اسم test.png درست کن از نوع b یعنی block device و دو عدد بعدی Major و Minor هستند که اعدادی هستند که به یک device و قسمت هایی که به آن متصل هستند نسبت داده میشه برای برقراری ارتباط با هر  device در لینوکس به آن عددی نسبت میدیم به نام major که نوع device را مشخص می کنه به عنوان مثال به audio عدد 14 نسبت داده شده و به هر کدام از بخش های آن یک عدد داده میشه که به اون minor میگن مثلا برای mixer عدد 0 در نظر گرفته شده و یا به عنوان مثال دوم برای دیسک سخت عدد 8 به عنوان major در نظر گرفته شده و به هر کدام از پارتیشن ها نیز عددی اختصاص داده میشه به عنوان minor ، خب حالا خودت تصور کن که مثلن فلش مموری شامل همچین فایلی رو برای یکی از کاربرانت mount کنی و اون دقیقن میتونه هر بلایی سر پارتیشن شما بیاره، به همین دلیل از این آپشن استفاده میکنن و یک فلش رو بصورت زیر mount میکنن:

mmount nodev /dev/sdb1 /mnt

آخرین ویرایش توسط joker (2019-04-23 00:00:49)

آفلاین

پانوشت انجمن

پشتیبانی توسط تیم آرچ لینوکس ایران و نیرو گرفته با FluxBB