tech:notes_securite_os_gnu_linux_hardening_-_partitions_-_noexec
Notes sécurité OS GNU/Linux hardening - partitions - noexec
Voir aussi :
- rwtab
FS noexec - Sécurité Montage Système de fichier
nodev,nosuid,noexec,ro
echo "/var/tmp /tmp none bind 0 0" >> /etc/fstab
/etc/apt/apt.conf.d/01PrePost
DPkg { Pre-Invoke { "mount /var -o remount,exec"; "mount /tmp -o remount,exec"; "mount /var/tmp -o remount,exec" }; Post-Invoke { "mount /var -o remount,noexec"; "mount /tmp -o remount,noexec"; "mount /var/tmp -o remount,noexec" }; };
Pour des raisons de sécurité, il est recommandé de monter /tmp en noexec cependant Debian à besoin des droits exec lors de mise-à-jour. Voici une solution :
/etc/apt/apt.conf.d/70debconf
DPkg::Pre-Install-Pkgs {"mount -o remount,exec /tmp; /usr/sbin/dpkg-preconfigure --apt || true";}; DPkg::Post-Invoke {"mount -o remount /tmp";};
Pour plus de sécurité, on pourra monter certaines partitions avec des options particulières :
| Partition | Options de montage |
|---|---|
| / | noatime,ro |
| /boot | noatime,nodev,nosuid,noexec,ro |
| /tmp | noatime,nodev,nosuid,noexec |
| /usr | noatime,nodev,ro |
| /var | noatime,nodev,nosuid,noexec |
| /home | noatime,nodev,nosuid noexec,usrquota,grpquota |
Noatime : Pour toutes les partitions. Voir debian_noatime Nodev : Pour toutes les partitions sauf /dev Nosuid : Pour toutes les partitions sauf / et /usr Noexec : Pour /tmp et /run/shm (pour /run/shm c'est normalement le cas par défaut). Si possible aussi pour /var ro : / et /usr
# Dev find / \( -type b -o -type c \) -not -wholename "/dev/*" # Suid find / -type f -perm /a+s # Partition /run/shm ou /dev/shm. Doit-être en nosuid,nodev,noexec mount | grep shm
A tester
/lib64/ld-linux-x86-64.so.2 /bin/echo "Plop"
tech/notes_securite_os_gnu_linux_hardening_-_partitions_-_noexec.txt · Dernière modification : de Jean-Baptiste