Chinaunix首页 | 论坛 | 博客
  • 博客访问: 10804278
  • 博文数量: 2905
  • 博客积分: 20098
  • 博客等级: 上将
  • 技术积分: 36298
  • 用 户 组: 普通用户
  • 注册时间: 2009-03-23 05:00
文章存档

2012年(1)

2011年(3)

2009年(2901)

分类: LINUX

2009-03-23 11:34:39

ount 的几种安全。我来给大家讲讲
1 mount /dev/sdb1 /mnt/d1 -o ro 说明挂载后往d1里是写不了数据的

例如:[root@yirehe /]# mount /dev/sdb1 /mnt/d1 -o ro
[root@yirehe /]# cd /mnt/d1
[root@yirehe d1]# ls
lost+found
[root@yirehe d1]# mkdir 1
mkdir: 无法创建目录‘1’: 只读文件系统

创建文件不让创建

2mount /dev/sdb1 /mnt/d1 -o noexec 说明 挂载后不能使用可执行文件

例如:[root@yirehe /]# mount /dev/sdb1 /mnt/d1 -o noexec
[root@yirehe /]# cd /mnt/d1
[root@yirehe d1]# ls
lost+found
[root@yirehe d1]# cp /bin/ls /mnt/d1
[root@yirehe d1]# ls
lost+found  ls
[root@yirehe d1]# /mnt/d1/ls
-bash: /mnt/d1/ls: 权限不够

cp /bin/ls /mnt/d1 是把ls 可执行文件拷贝到/mnt/d1下
/mnt/d1/ls 是说我们来运行它

跟分区不能这样挂载。要不系统就启动不了啦。

3 mount /dev/sdb1 /mnt/d1 -o nodev

nodev是不许辨认设备文件。在移动设备和软盘里我们大家要是

禁用这个设备 ,如果软盘里放着dev 那么普通用户可以通过软盘里的
dev来访问实际的硬盘。

4 mount /dev/sdb1 /mnt/d1 -o nosuid,nosgid

33SUID SGID 默认是开启的 可执行文件和可执行程序。这样的程序是危险的。

执行者可以通过这获得程序的身份和权限。

通常明感的目录和公用的目录要使用nosuid,nosgid

5 mount /dev/sdb1 /mnt/d1 -o noatime

默认是更新节点的访问时间的。这样每访问一次就要更新一次。浪费资源

我们用noatime 来节省资源。

6 mount /dev/sdb1 /mnt/d1 -o nouser

不许普通用户挂载磁盘。但是上面这句话不能这么写。在这面只是方便给大家看

这nouser只能写进 /etc/fstab 里。


下面我给大家演示一下


vi /etc/fstab

出现

LABEL=/                 /                       ext3    defaults        1 1
LABEL=/boot             /boot                   ext3    defaults        1 2
none                    /dev/pts                devpts  gid=5,mode=620  0 0
none                    /proc                   proc    defaults        0 0
none                    /dev/shm                tmpfs   defaults        0 0
/dev/sda3               swap                    swap    defaults        0 0
/dev/cdrom              /mnt/cdrom              udf,iso9660 noauto,owner,kudzu,ro 0 0
/dev/fd0                /mnt/floppy             auto    noauto,owner,kudzu 0 0

我们在里面加上一个挂载点

LABEL=/                 /                       ext3    defaults        1 1
LABEL=/boot             /boot                   ext3    defaults        1 2
none                    /dev/pts                devpts  gid=5,mode=620  0 0
none                    /proc                   proc    defaults        0 0
none                    /dev/shm                tmpfs   defaults        0 0
/dev/sda3               swap                    swap    defaults        0 0
/dev/cdrom              /mnt/cdrom              udf,iso9660 noauto,owner,kudzu,ro 0 0
/dev/fd0                /mnt/floppy             auto    noauto,owner,kudzu 0 0
/dev/sdb1              /mnt/d1                  ext3   noexec,nodev,nosuid,nosgi
d    0 0

这样就好了。要把defaults 去掉 添加上 noexec,nodev,nosuid,nosgid

当然这要看所挂载的要求是什么, 在这面的填写不是固定的。

在这里只是演示。

一定要添对,不然会挂载不上的。

本文出自 “E网咖啡猫” 博客,转载请与作者联系!

阅读(1003) | 评论(0) | 转发(0) |
0

上一篇:LINUX下的apache+php+mysql的配置

下一篇:LINUX中的分区,格式化,挂载安全(中)

给主人留下些什么吧!~~