From: "Cristiano Chiucchiolo" <cristiano.chiucchiolo@gmail.com>
To: gentoo-docs-it@lists.gentoo.org
Subject: [gentoo-docs-it] Tradotto security/shb-mounting.xml
Date: Mon, 10 Apr 2006 13:03:43 +0200 [thread overview]
Message-ID: <a2bfe4570604100403s5777131fqca9ed1dc4c428125@mail.gmail.com> (raw)
[-- Attachment #1: Type: text/plain, Size: 2 bytes --]
[-- Warning: decoded text below may be mangled, UTF-8 assumed --]
[-- Attachment #2: shb-mounting.xml --]
[-- Type: text/xml; name="shb-mounting.xml", Size: 2677 bytes --]
<?xml version='1.0' encoding='UTF-8'?>
<!-- $Header:
/var/www/www.gentoo.org/raw_cvs/gentoo/xml/htdocs/doc/en/security/shb-mounting.
xml,v 1.2 2005/06/01 17:42:46 neysx Exp $ -->
<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
<!-- The content of this document is licensed under the CC-BY-SA license -->
<!-- See http://creativecommons.org/licenses/by-sa/1.0 -->
<sections>
<version>1.0</version>
<date>2005-05-31</date>
<section>
<title>Montare partizioni</title>
<body>
<p>
Quando montate una partizione <c>ext2</c>, <c>ext3</c>, o <c>reiserfs</c>, avete
diverse opzioni che potete applicare nel file <path>/etc/fstab</path>. Le
opzioni sono:
</p>
<ul>
<li>
<c>nosuid</c> - Ignora il SUID bit e lo rende proprio come un file ordinario
</li>
<li>
<c>noexec</c> - Impedisce l'esecuzione di file da questa partizione
</li>
<li>
<c>nodev</c> - Ignora i dispositivi
</li>
</ul>
<p>
Sfortunatamente queste impostazioni possono essere facilmente eluse eseguendo un
percorso non diretto. Tuttavia, impostare <path>/tmp</path> a noexec bloccherà
la maggiorparte degli exploit progettati per essere eseguiti direttamente da
<path>/tmp</path>.
</p>
<pre caption="/etc/fstab">
/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp reiserfs notail,noatime,nodev,nosuid,noexec 0 0
/dev/sda5 /var reiserfs notail,noatime,nodev 0 0
/dev/sda6 /home reiserfs notail,noatime,nodev,nosuid 0 0
/dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0
</pre>
<warn>
Mettere <path>/tmp</path> in modalità <c>noexec</c> può impedire la corretta
esecuzione di alcuni script.
</warn>
<note>
Per la quote disco vedere <uri link="?part=1&chap=5#quotas">la sezione sulle
quote</uri>.
</note>
<note>
Io non imposto <path>/var</path> a <c>noexec</c> o <c>nosuid</c>, anche se di
solito nessun file viene eseguito da questo mount point. La ragione è che qmail
viene installato in <path>/var/qmail</path> e deve essegli consentito di
eseguire e di accedere a un SUID file. Io configuro <path>/usr</path> in
modalità read-only, dato che non scrivo mai nulla là, a meno che non voglia
aggiornare Gentoo. In questo caso rimonto il filesystem in modalità read-write,
aggiorno il sistema e rimonto di nuovo.
</note>
<note>
Anche se non usate qmail, Gentoo ha bisogno lo stesso del bit eseguibile
impostato su <path>/var/tmp</path>, dato che gli ebuild vengono compilati qui.
Ma può sempre essere configurato un percorso alternativo, se proprio volete
montare <path>/var</path> in modalità <c>noexec</c>.
</note>
</body>
</section>
</sections>
next reply other threads:[~2006-04-10 11:03 UTC|newest]
Thread overview: 2+ messages / expand[flat|nested] mbox.gz Atom feed top
2006-04-10 11:03 Cristiano Chiucchiolo [this message]
2006-04-13 20:29 ` [gentoo-docs-it] Tradotto security/shb-mounting.xml Stefano Rossi
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=a2bfe4570604100403s5777131fqca9ed1dc4c428125@mail.gmail.com \
--to=cristiano.chiucchiolo@gmail.com \
--cc=gentoo-docs-it@lists.gentoo.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
Be sure your reply has a Subject: header at the top and a blank line
before the message body.
This is a public inbox, see mirroring instructions
for how to clone and mirror all data and code used for this inbox