Firmenbrief

25.04.2017

Tipps vom LIS-Service: Steigerung der Sicherheit mit verschiedenen Mount-Optionen


Je nach Konfiguration und Anwendungszweck des Systems können Sie Teile des Dateisystems mit unterschiedlichen Rechten und Optionen ins System einbinden. Darunter gibt es auch einige Möglichkeiten, mit denen Sie quasi nebenbei die Sicherheit des Systems erhöhen. Einige Beispiele:

noexec: unterbindet Ausführen von Programmen auf den Partitionen.

nosuid: unterbindet das Ausführen von suid-Programmen auf den Partitionen.

nodev: unterbindet das Einbinden von Gerätedateien (engl. Device Nodes) auf zuvor definierten Partitionen (zum Beispiel USB). Somit können keine Nodes (Blockdevices) auf fremden Systemen erstellt werden und mit schwachen Rechten auf dem zu schützenden System benutzt werden.

Hier ein Beispiel für die Verwendung in der Datei /etc/fstab:

/dev/sda4 /tmp   ext4    defaults,nodev,nosuid,noexec    1 2

Gerade für temporäre Verzeichnisse bieten sich diese Optionen an.

Behalten Sie diese Konfiguration jedoch im Hinterkopf, da manche Programme für interne Prozesse auf temporäre Verzeichnisse zurückgreifen, um darin beispielsweise ein Skript auszuführen. Bei dem hierbei auftretenden Abbruch können Sie die Partition im laufenden Betrieb neu einbinden mittels „Optionen neu":  

sudo mount /tmp -o remount,exec