Ich besitze ueber ein LVM partitionniertes opensuse 11.4 System mit einer swap, einer /, und einer /home Partition, dabei haette ich gerne nosuid und
noexec zum funktionnieren gebracht, leider habe ich null ahnung wie…
Habe eine Installation von opensuse 11.4 simuliert dann extra abgebrochen um mir die fstab Einstellungen (Optionen) des installation-partitionnier-tools zu veranschaulichen (fuer die partition home), leider taucht dort nirgends der name „noexec“ auf so dass ich momentant so ziemlich im Dunklen tappe
Oh jeh… da bin ich wieder :-)bin jetzt etwas weitergekommen, weis jetzt dass nicht besonders respektvolle Individuen einem ihre Troyaner als aller erstes in die Verzeichnisse /tmp und /home stecken, so wie soweit ich weiss in den anderen restlichen tmp dateien auf Linux systemen, dieser Vorgang wird scheinbar von nicht besonders geuebten Hackern benutzt die ueber „keine kreativitaet“ verfuegen und die einfache copy to paste methode benutzen, wie genau ob sie dabei schon ueber root rechte verfuegen oder nicht weiss ich nicht vermute es aber da man mit Back-Track und Metasploit hacking tools ohne besonders begabt zu sein mit der richtigen Anleitung so ziemlich viel Unheil anrichten kann…
Scheinbar sind diese Verzeichnisse besonders beliebt da sie ueber keine r: lese ; w: schreib und
x: execute restriktion verfuegen, was die Installation und Ausfuehrung von Schadsoftware dort vereinfacht,
dass es scheinbar daher von Nutzen ist den Flag noexec wie auch nosuid? fuer die respektiven /tmp ; /home etc Partitionen in /etc/fstab zu setzen,
Habe da so folgende Fragen Ist die noexec Loesung fuer offline und online Rechner? …da noexec die Ausfuehrung von Binaerdateien usw verhindert insbesonders fuer /home gibt es doch sicher eine Loesung um zum Beispiel den Firefox Button zu betaetigen um ans Internet gelangen
zu koennen …oder nicht?
Alle noexec Anleitungen die ich so durchstudiert habe waren fuer Server oder gehen davon aus das die /tmp Verzeichnisse zu eigens keine Verzeichnisse sondern dass von /tmp Partitionen die Rede ist, daher dass anschliessend erforderliche re-mounten der mit dem Flag noexec versetzten Partitionen,
…da mein /tmp ein in / enthaltenes Verzeichniss ist und keine selbststaendige Partition frag ich mich anhand von welchen Befehlen ich ein solches Verzeichniss in fstab? remounten sollte… … ist denn meine
Systemstruktur: eine swap - eine / die „alles andere drinn enthaelt“ und eine /home Partition vielleicht nicht fuer noexec geeignet? …was fuer Loesungen gibt’s denn so ?
PS: September 2011 habe dass mit den LVM basierten Partitionen sein lassen, weiss nicht so genau ob’s der Sicherheit wegen recht ist
Kommt drauf an, für was du deinen Rechner verwendest, aber im üblichen Anwendungsfall eines Arbeitsplatzrechners oder auch eines Rechners der dir zu Hause den Internetzugang macht, kannst du dir das sparen.
Um es bei /tmp zu machen müsste /tmp tatsächlich eine eigen Partition sein.
/home mit noexec stört den Firefox überhaupt nicht, da das Firefox-Binary nicht auf /home liegt. Den kann man also ohne weiteres trotzdem starten. Anwender können mit noexec auf /home keine Skripte oder ausführbaren Dateien starten, die auf /home liegen, das ist alles. Es kann in bestimmten Fällen sinnvoll sein, das zu machen (ich denke an ein /home das auf einem anderen Rechner liegt), aber für den Hausgebrauch ist es nicht nötig.
Falls bei dir jemand root-Rechte erlangt hat, dann könnte er das noexec einfach rückgängig machen, in dem Zusammenhang hilft es also sowieso nicht.
Habe mir ein neues opensuse 11.4 System installiert wobei ich partitions basierend eine verschluesselte swap, eine / Partition, eine /tmp Partition und eine verschluesselte /home Partition erstellt habe wobei
in dem fstab Eingabekaestchen folgendes eingegeben wurde (ohne Leerstrich):
nosuid,noexec
…dies fuer die partition /tmp und auch fuer /home und habe anschliessend den Installationsvorgang fertig gemacht
Waere interessant wenn jemand wuesste wie mann so nosuid und noexec mit einem LVM orientierten Partitioning vollbringt da man glaub ich insbesonders einen /boot volume erstellen muss (glaub ich – fuer den Bootloader), bin dabei stecken geblieben da das ganze ziemlich tueckisch zu sein scheint oder vielleicht gar nicht moeglich ist ?
Gerne nehme ich Eure Ratschlaege an…!
Ist die noexec Loesung fuer offline und online Rechner? …da noexec die Ausfuehrung von Binaerdateien usw verhindert insbesonders fuer /home gibt es doch sicher eine Loesung um zum Beispiel den Firefox Button zu betaetigen um ans Internet gelangen