SCP

Juan Carlos Muñoz Ilabaca jcmunoz en dcc.uchile.cl
Mar Dic 26 17:24:31 CLST 2006


opción noexec para que no se pueda ejecutar, opción nodev para que no puedan 
crear nodos en el FS y nosuid para que no puedan hacer maldades.

Yo siempre en caso de servidores con usuarios intrusos uso estas 
definiciones... bue... cada loco con su tema, siempre se generan discusiones 
sobre estas medidas, debido a que puede que se produzcan malos 
dimensionamientos, pero para eso siempre es bueno tener las cosas sobre un 
LVM, y así te ahorras esos problemas...


en man mount:

              async  Toda la  E/S  al  sistema  de  ficheros  debería  hacerse
                     asíncronamente.

              atime  Actualizar  el  tiempo  de  acceso  al  nodo-í  para cada
                     acceso. Esto es lo predeterminado.

              auto   Puede montarse con la opción -a.

              defaults
                     Emplear las  opciones  predeterminadas:  rw,  suid,  dev,
                     exec, auto, nouser y async.

              dev    Interpretar  dispositivos especiales de caracteres o blo-
                     ques en el sistema de ficheros.

              exec   Permitir la ejecución de binarios.

              noatime
                     No actualizar los tiempos de acceso a nodo-í en este sis-
                     tema  de ficheros (p.ej., para un acceso más rápido en el
                     directorio de 'spool' de las noticias o  grupos  de  dis-
                     cusión  ('news')  para  hacer  más  rápido un servidor de
                     noticias).

              noauto Sólo puede montarse explícitamente (esto es, la opción -a
                     no hará que el sistema de ficheros se monte).

              nodev  No  interpretar o reconocer dispositivos o ficheros espe-
                     ciales  de  bloques  o  caracteres  en  este  sistema  de
                     ficheros.

              noexec No  permitir la ejecución de ningún binario en el sistema
                     de ficheros montado. Esta opción puede ser útil  para  un
                     servidor  que  tiene  sistemas  de ficheros que contienen
                     binarios para otras arquitecturas distintas de la suya.

              nosuid No permitir el efecto de los bits SUID ni SGID.

              nouser Prohibir a un usuario ordinario  (esto  es,  distinto  de
                     root) montar el sistema de ficheros. Esto es lo predeter-
                     minado.

              remount
                     Intentar re-montar un sistema  de  ficheros  ya  montado.
                     Esto  se  emplea  comúnmente para cambiar las opciones de
                     montaje en un sistema de ficheros, especialmente para que
                     se pueda escribir en un sistema de ficheros que estaba de
                     lectura exclusiva.

              ro     Montar el sistema de ficheros de lectura exclusiva.

              rw     Montar el sistema de ficheros de lectura y escritura.

              suid   Permitir el efecto de los bits SUID y SGID.

              sync   Toda la  E/S  al  sistema  de  ficheros  debería  hacerse
                     síncronamente.

              user   Permitir  a  un  usuario  ordinario  montar el sistema de
                     ficheros. Esta opción implica las opciones noexec, nosuid
                     y  nodev  (a  menos  que se sustituyan por otras subsigu-
                     ientes, como en la línea de opciones user,exec,dev,suid).

Atte. JCMI

Disque el Martes, 26 de Diciembre de 2006 16:13, Ricardo Utreras Estrella 
escribiosese:
> Juan Carlos Muñoz Ilabaca escribió:
> > Para estos casos yo lo que hago es definir los home en una partición
> > exclusiva, y luego defino que no tiene permiso para crear dispositivos ni
> > para ejecutar y listo...
> >
> > Atte. JCMI
>
> Y como le quitas los permisos de ejecusion?

-- 
We use Linux for all our mission-critical applications. Having the source code
means that we are not held hostage by anyone's support department.
(Russell Nelson, President of Crynwr Software)



Más información sobre la lista de distribución Linux