SCP
Juan Carlos Muñoz Ilabaca
jcmunoz en dcc.uchile.cl
Mar Dic 26 17:24:31 CLST 2006
opción noexec para que no se pueda ejecutar, opción nodev para que no puedan
crear nodos en el FS y nosuid para que no puedan hacer maldades.
Yo siempre en caso de servidores con usuarios intrusos uso estas
definiciones... bue... cada loco con su tema, siempre se generan discusiones
sobre estas medidas, debido a que puede que se produzcan malos
dimensionamientos, pero para eso siempre es bueno tener las cosas sobre un
LVM, y así te ahorras esos problemas...
en man mount:
async Toda la E/S al sistema de ficheros debería hacerse
asíncronamente.
atime Actualizar el tiempo de acceso al nodo-í para cada
acceso. Esto es lo predeterminado.
auto Puede montarse con la opción -a.
defaults
Emplear las opciones predeterminadas: rw, suid, dev,
exec, auto, nouser y async.
dev Interpretar dispositivos especiales de caracteres o blo-
ques en el sistema de ficheros.
exec Permitir la ejecución de binarios.
noatime
No actualizar los tiempos de acceso a nodo-í en este sis-
tema de ficheros (p.ej., para un acceso más rápido en el
directorio de 'spool' de las noticias o grupos de dis-
cusión ('news') para hacer más rápido un servidor de
noticias).
noauto Sólo puede montarse explícitamente (esto es, la opción -a
no hará que el sistema de ficheros se monte).
nodev No interpretar o reconocer dispositivos o ficheros espe-
ciales de bloques o caracteres en este sistema de
ficheros.
noexec No permitir la ejecución de ningún binario en el sistema
de ficheros montado. Esta opción puede ser útil para un
servidor que tiene sistemas de ficheros que contienen
binarios para otras arquitecturas distintas de la suya.
nosuid No permitir el efecto de los bits SUID ni SGID.
nouser Prohibir a un usuario ordinario (esto es, distinto de
root) montar el sistema de ficheros. Esto es lo predeter-
minado.
remount
Intentar re-montar un sistema de ficheros ya montado.
Esto se emplea comúnmente para cambiar las opciones de
montaje en un sistema de ficheros, especialmente para que
se pueda escribir en un sistema de ficheros que estaba de
lectura exclusiva.
ro Montar el sistema de ficheros de lectura exclusiva.
rw Montar el sistema de ficheros de lectura y escritura.
suid Permitir el efecto de los bits SUID y SGID.
sync Toda la E/S al sistema de ficheros debería hacerse
síncronamente.
user Permitir a un usuario ordinario montar el sistema de
ficheros. Esta opción implica las opciones noexec, nosuid
y nodev (a menos que se sustituyan por otras subsigu-
ientes, como en la línea de opciones user,exec,dev,suid).
Atte. JCMI
Disque el Martes, 26 de Diciembre de 2006 16:13, Ricardo Utreras Estrella
escribiosese:
> Juan Carlos Muñoz Ilabaca escribió:
> > Para estos casos yo lo que hago es definir los home en una partición
> > exclusiva, y luego defino que no tiene permiso para crear dispositivos ni
> > para ejecutar y listo...
> >
> > Atte. JCMI
>
> Y como le quitas los permisos de ejecusion?
--
We use Linux for all our mission-critical applications. Having the source code
means that we are not held hostage by anyone's support department.
(Russell Nelson, President of Crynwr Software)
Más información sobre la lista de distribución Linux