分类: LINUX
2009-03-23 11:34:39
ount 的几种安全。我来给大家讲讲
1 mount /dev/sdb1 /mnt/d1 -o ro 说明挂载后往d1里是写不了数据的
例如:[root@yirehe /]# mount /dev/sdb1 /mnt/d1 -o ro
[root@yirehe /]# cd /mnt/d1
[root@yirehe d1]# ls
lost+found
[root@yirehe d1]# mkdir 1
mkdir: 无法创建目录‘1’: 只读文件系统
创建文件不让创建
2mount /dev/sdb1 /mnt/d1 -o noexec 说明 挂载后不能使用可执行文件
例如:[root@yirehe /]# mount /dev/sdb1 /mnt/d1 -o noexec
[root@yirehe /]# cd /mnt/d1
[root@yirehe d1]# ls
lost+found
[root@yirehe d1]# cp /bin/ls /mnt/d1
[root@yirehe d1]# ls
lost+found ls
[root@yirehe d1]# /mnt/d1/ls
-bash: /mnt/d1/ls: 权限不够
cp /bin/ls /mnt/d1 是把ls 可执行文件拷贝到/mnt/d1下
/mnt/d1/ls 是说我们来运行它
跟分区不能这样挂载。要不系统就启动不了啦。
3 mount /dev/sdb1 /mnt/d1 -o nodev
nodev是不许辨认设备文件。在移动设备和软盘里我们大家要是
禁用这个设备 ,如果软盘里放着dev 那么普通用户可以通过软盘里的
dev来访问实际的硬盘。
4 mount /dev/sdb1 /mnt/d1 -o nosuid,nosgid
33SUID SGID 默认是开启的 可执行文件和可执行程序。这样的程序是危险的。
执行者可以通过这获得程序的身份和权限。
通常明感的目录和公用的目录要使用nosuid,nosgid
5 mount /dev/sdb1 /mnt/d1 -o noatime
默认是更新节点的访问时间的。这样每访问一次就要更新一次。浪费资源
我们用noatime 来节省资源。
6 mount /dev/sdb1 /mnt/d1 -o nouser
不许普通用户挂载磁盘。但是上面这句话不能这么写。在这面只是方便给大家看
这nouser只能写进 /etc/fstab 里。
下面我给大家演示一下
vi /etc/fstab
出现
LABEL=/ / ext3 defaults 1 1
LABEL=/boot /boot ext3 defaults 1 2
none /dev/pts devpts gid=5,mode=620 0 0
none /proc proc defaults 0 0
none /dev/shm tmpfs defaults 0 0
/dev/sda3 swap swap defaults 0 0
/dev/cdrom /mnt/cdrom udf,iso9660 noauto,owner,kudzu,ro 0 0
/dev/fd0 /mnt/floppy auto noauto,owner,kudzu 0 0
我们在里面加上一个挂载点
LABEL=/ / ext3 defaults 1 1
LABEL=/boot /boot ext3 defaults 1 2
none /dev/pts devpts gid=5,mode=620 0 0
none /proc proc defaults 0 0
none /dev/shm tmpfs defaults 0 0
/dev/sda3 swap swap defaults 0 0
/dev/cdrom /mnt/cdrom udf,iso9660 noauto,owner,kudzu,ro 0 0
/dev/fd0 /mnt/floppy auto noauto,owner,kudzu 0 0
/dev/sdb1 /mnt/d1 ext3 noexec,nodev,nosuid,nosgi
d 0 0
这样就好了。要把defaults 去掉 添加上 noexec,nodev,nosuid,nosgid
当然这要看所挂载的要求是什么, 在这面的填写不是固定的。
在这里只是演示。
一定要添对,不然会挂载不上的。
本文出自 “E网咖啡猫” 博客,转载请与作者联系!