Ich bin per Zufall auf einen 12 jahre alten Post auf http://www.debian-administration.org gestossen:
https://www.debian-administration.org/a ... executable
Ein Problem habe ich denke ich gelöst: der Artikel schlägt vor die /etc/apt/apt.conf zu ergänzen damit apt-get läuft. Das muss bei aktuellen Distributionen nach /etc/apt/apt.conf.d/70debconf verlegt werden.
Im Prinzip finde ich Vorschläge wie man die Hürden etwas erhöhen kann als sinnvoll, und würde gerne ein paar Meinungen zu dem Thema hören. Macht das Sinn? Hat da jemand ausprobiert, funktioniert das? Nebenwirkungen?
Mfg rh
/tmp non-exec setzen
-
whisper
- Beiträge: 3401
- Registriert: 23.09.2002 14:32:21
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Re: /tmp non-exec setzen
Ich habe es auch mal gemacht.
http://zockertown.de/s9y/index.php?/arc ... unten.html
Mittlerweile aber nicht mehr.
Wichtiger ist eine regelmäßige Kontrolle mit maldet. (IMHO)
http://zockertown.de/s9y/index.php?/arc ... unten.html
Mittlerweile aber nicht mehr.
Wichtiger ist eine regelmäßige Kontrolle mit maldet. (IMHO)
Alter ist übrigens keine Ausrede, nur Erfahrung, die sich stapelt. 
Re: /tmp non-exec setzen
Gegen was soll es denn konkret schützen? wenn man das weiss, dann kann man evtl. Zielführendere Maßnahmen ergreifen.
Unix is user-friendly; it's just picky about who its friends are.
-
Saxman
- Beiträge: 4233
- Registriert: 02.05.2005 21:53:52
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: localhost
Re: /tmp non-exec setzen
Ja, ich mach das, seit Jahren, nicht nur mit /tmp
Wie du schon erkannt hast, funktioniert dann apt nicht mehr. Dafür hab ich:
Daneben noch ein wenig ro und nosuid paranoia. Exemplarisch ein Ausschnitt aus der fstab:
Das ist aber nur ein kleiner Ausschnitt der fstab und auf meinen Rechner zugeschnitten. Nicht einfach übernehmen. 
Code: Alles auswählen
# mount |grep noexec |wc -l
26Code: Alles auswählen
# cat /etc/apt/apt.conf
[...]
DPkg
{
Pre-Invoke { "/bin/echo preparing for software installation...; /bin/mount -w /usr -oremount ; /bin/mount -w /boot -oremount ; /bin/mount -o exec /tmp -oremount ; /bin/mount -o exec /tmpdir -oremount ; /bin/mount -o exec /var -oremount ;" };
Post-Invoke { "/bin/echo finishing software installation...;/bin/sync ; /bin/mount /usr -oremount ; /bin/mount /boot -oremount ; /bin/mount /tmp -oremount ; /bin/mount /tmpdir -oremount ; /bin/mount /var -oremount ; /bin/sync" };
};Code: Alles auswählen
UUID=85823c19-2042-49b1-a07d-a1458dd37641 /boot ext2 ro,noatime,nodiratime,nodev 0 2
/dev/mapper/samsung--ssd-var /var ext4 noatime,nodiratime,discard,nosuid,nodev,noexec,commit=300,data=writeback 0 2
/dev/mapper/samsung--ssd-usr /usr ext4 ro,noatime,nodiratime,discard,nodev,commit=300,data=writeback 0 2
tmpfs /tmp tmpfs noatime,nodiratime,nosuid,noexec,nodev,size=512m 0 0
tmpfs /tmpdir tmpfs noatime,nodiratime,nosuid,noexec,nodev,mode=755,size=512m 0 0
"Unix is simple. It just takes a genius to understand its simplicity." - Dennis Ritchie
Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.
Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.
Re: /tmp non-exec setzen
Mmmh, alleine diese "/sys/fs/cgroup" machen bei mir schon um die 10 noexecs ausSaxman hat geschrieben:Code: Alles auswählen
# mount |grep noexec |wc -l 26
und tmpfs des users 1000 ist mittlerweile auch schon nosuid per default,
nur so zum Bleistift ...