Le 10 Juillet 2002 à 21:32, Arnaud LACOMBE a écrit: > Pour le montage de /tmp en lecture seule, le problème est que qu'en tu > installe des paquets avec apt-get, dpkg place dans /tmp ses fichiers > (éxécutable) de configuration. >
J'ai eu pendant un moment, /tmp sur un partition séparée montée en noexec et le seul problème que j'ai eu c'était pendant le ./configure pour la compilation de mplayer (execution dans /tmp d'un programme pour détecter la configuration matérielle). > Lorsque j'ai organiser mon fs avec /tmp sur une partition séparé, > j'avais fait quelques recherches sur l'intérêt de monter /tmp en noexec, > les commentaires que j'avais trouvé n'en voyait pas l'intérêt. Une > solution serait de dire à dpkg où décompresser les paquets (par example > dans /var/tmp). > Pour préciser à apt le répertoire qu'il doit utiliser on peut utiliser la variable APT::ExtractTemplates::TempDir dans /etc/apt/apt.conf (voir securing-debian-howto). Pour la sécurité, c'est vrai que l'option noexec n'est pas très utile car contournable facilement. Mais si tu as plusieurs utilisateurs sur ta machine et que tu ne veux pas qu'ils puissent executer les programmes autres que ceux autorisés par root, il faut monter /home, /tmp et /var/tmp en noexec. En plus si ta machine est compromise par un pirate qui profite d'une faille de apache (par exemple), avec les droits de l'utilisateur www-data, il pourra copier un programme dans /tmp pour l'executer ensuite. Dans ce cas le fait d'utiliser une partition séparée pour /tmp pour empecher l'execution est certainement contraignant mais avec --bind, tu peux faire cela de façon simple et, avec à priori, comme seule contrainte de rajouter 2 lignes dans un script au démarrage. > Pour l'option --bind, il semble qu'il failler faire un remout, > http://groups.google.fr/groups?hl=fr&lr=&ie=UTF-8&oe=UTF-8&q=%22mount+--bind%22 > (le premier résultat). > Merci pour le lien. Ca marche en faisant un remount après avoir mounter une première fois avec --bind. > -- > "Les bourreaux sont des hommes ordinaires." > Fred -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
