"Cuestionando" los permisos de /tmp
Hola,
voy dando mis pasitos, a nivel de usuario final, en el tema
de reforzar la seguridad de mi sistema, y apliqué una
recomendación que me pareció interesante: montar el máximo de
particiones posibles de manera que no permitan ejecutar
binarios/scripts desde ellas. Tengo el `/etc/fstab' así:
# /etc/fstab: static file system information.
#
#<file system> <mount point> <type> <options> <dump> <pass>
/dev/hda5 / ext2 defaults,errors=remount-ro 0 1
/dev/hdd6 none swap sw 0 0
proc /proc proc defaults 0 0
/dev/hdd5 /usr/lib ext2 defaults 0 2
/dev/hdd7 /var ext2 defaults,nodev 0 2
/dev/hdd8 /home ext2 defaults,noexec,nodev 0 2
/dev/hdb /cd iso9660 ro,noauto,noexec,nodev 0 0
/dev/hda1 /dos vfat rw,noauto,noexec,nodev,uni_xlate 0 0
/dev/fd0 /a auto rw,noauto,noexec,nodev 0 0
También tenía el `noexec' en `/var', pero me dio problemas,
creo que fue `dpkg', y lo volví a cambiar.
El caso es que de esta forma un usuario no puede dejar en su
"home" binarios o scripts maliciosos (lo sepa o no) que puedan
ejecutarse descuidadamente.
Bien, pero voy y me bajo de la red un script en perl que me
dice que puertos tengo abiertos, :-) Por descontado que no he
revisado el código ni conozco la fuente, Rootshell,
http://www.rootshell.com/archive-j457nxiqi3gq59dv/199805/ss.pl.html.
Al intentar ejecutarlo me dice "Permission denied", también
como root, así que la "medida" ha sido efectiva. Ahora solo
necesito hacer un `cp' del script a `/tmp', ¡ y ejecutarlo
tranquilamente !!
O sea, mientras el usuario pueda mover los scripts/binarios a
directorios con permisos de ejecución la seguridad en ese
aspecto es ilusoria.
¿ Se pueden cambiar los permisos del directorio temporal sin
que se lie un follón ?
Por ejemplo de,
drwxrwxrwt 4 root root 1024 ago 13 13:48 /tmp
a
drwxrwxrwT 4 root root 1024 ago 13 13:48 /tmp
De momento eso impide ejecuciones como `user', pero ya he
empezado ha notar poglemas, así que no es la solución. ¿Quizás
tener una partición para `/tmp' y montarla como `noexec', o
tendría el mismo efecto que el cambio de permisos ?
Pues eso. Un saludo.
--
Cosme
=============================================================
-=-=- A través de Debian GNU/Linux -=-=-
-=-=- Software Libre -=-=-
http://www.linux.org/ S.O. Multi-[plataforma, tarea, usuario]
http://www.gnu.org/ Free Software Foundation
http://lucas.hispalinux.es/ Documentación en Castellano
http://www.openresources.com/es/ Revista Open Resources
http://www.es.linuxfocus.org/Castellano/ LinuxFocus
=============================================================
Reply to: