LINUX-SEC: Opciones de montaje y archivos de dispositivos.

Opcion: noexec

el directorio /tmp debe tener la opcion noexec porque tiene permiso para que todos los usuarios realicen todas las acciones sobre el directorio.

el directorio /var tiene todas las variables de sistema. Tambien los logs. Tampoco deberia tener permiso de execucion.

el directorio /proc tiene info de los procesos que se estan ejecutando. pero no se estan ejecutando ahi. Tambien debe limitarse.



otros directorios para limitar con noexec
/dev/shm : sector de memoria virtual compartida.
/home : ningun usuario deberia ejeuctar appz en su directorio principal.

Opcion: nodev

esta opcion sirve para que un archivo no se pueda montar como particion.
en el siguiente ejemplo se muestra como se monta un archivo como particion.
[root@localhost ~]# dd if=/dev/sda1 of=/root/boot.img bs=65536
1631+1 records in
1631+1 records out
106896384 bytes (107 MB) copied, 3.6091 seconds, 29.6 MB/s
[root@localhost ~]# 

ahora es posible montarlo en /mnt
[root@localhost boot]# mount -o loop /root/boot.img /mnt

para evitar esto existe la opcion "nodev"



Aplicacion de atributos en fstab,
los atributos mencionados anteriormente se pueden aplicar a la particion en el archivo fstab.

[root@localhost boot]# cat /etc/fstab | grep noexec
/dev/sistema/var        /var                    ext3    nodev,nosuid,noexec        1 2
/dev/sistema/tmp        /tmp                    ext3    nodev,nosuid,noexec        1 2
/dev/sistema/home       /home                   ext3    nodev,nosuid,noexec        1 2
tmpfs                   /dev/shm                tmpfs   nodev,nosuid,noexec        0 0
proc                    /proc                   proc    nodev,nosuid,noexec        0 0
[root@localhost boot]# 

remontar los directorios actualizados en fstab.
[root@localhost boot]# mount -o remount /var
[root@localhost boot]# mount -o remount /tmp
[root@localhost boot]# mount -o remount /dev/shm
[root@localhost boot]# mount -o remount /proc
[root@localhost boot]# mount -o remount /home