Hetzner - DokuWiki

Temp Noexec Mount
(Vorberetiung und Durchführung hinzugefügt.)
(Weitere Hinweise hinzugefügt)
Zeile 44: Zeile 44:
 
Fragen, Anregungen und Wünsche bitte an deltaflyer_AT_ki-ba_DOT_net<br><br>
 
Fragen, Anregungen und Wünsche bitte an deltaflyer_AT_ki-ba_DOT_net<br><br>
 
--[[Benutzer:Deltaflyer|Deltaflyer]] 13:07, 4. Jul 2006 (CEST)
 
--[[Benutzer:Deltaflyer|Deltaflyer]] 13:07, 4. Jul 2006 (CEST)
 +
 +
=== Weitere Hinweise ===
 +
Achtung bei der Installation oder beim Upgrade von Softwarekomponenten.
 +
Oftmals legen diese Scripte, die zur Konfiguration ''ausgeführt'' werden müssen, in /tmp/ ab. Ist dieses mit ''noexec'' gemountet kann die Software oftmals nicht richtig installiert werden und / oder konfiguriert werden. Das kann auch dazu führen, dass teile des Servers plötzlich nicht mehr funktionsfähig sind. Daher vor Benutzung der Update-Funktionen (z.b. apt-get) das Verzeichnis wieder ''normal'' ohne ''noexec''-Flag mounten.

Version vom 4. Juli 2006, 13:43 Uhr

Inhaltsverzeichnis

HowTo: Temporäre Filesysteme mit der noexec Option mounten

Erklärung

Mit diesem HowTo wird erklärt, wie man temporäre Filesysteme, wie zum Beispiel /tmp oder /var/tmp,
so mountet, dass keine Dateien darin ausgeführt werden können.
Dies ist gerade dann sinnvoll, wenn man einen Webserver laufen hat, oder wenn andere Prozesse nicht 100% kontrollierbare Dateien in den Temp Filesystemen ablegen.

Vorbereitung

Bei der Installation eines Servers muss eine eigene Partition für das temporäre Filesystem erstellt werden. Dies sollte über das 'installimage' Script recht einfach zu erledigen sein. Die Größe der Partition sollte je nach Anwendungszweck des Servers festgelegt werden. (Richtwert: 1-5GB)

Durchführung

Nachdem die Partition angelegt wurde, muss man nur noch die Datei /etc/fstab anpassen. Dem Mountpoint /tmp muss jetzt noch die zusätzliche Option "noexec" gegeben werden.

Hier das Beispiel an einem Server mit einer IDE Platte:

Server root # cat /etc/fstab
# <fs>                  <mountpoint>    <type>          <opts>                  <dump/pass>

# NOTE: If your BOOT partition is ReiserFS, add the notail option to opts.
/dev/hda1               /boot           ext2            noauto,noatime          1 1
/dev/hda3               /tmp            ext3            noatime,noexec          1 1
/dev/hda4               /               ext3            noatime,usrquota        0 1
/dev/hda2               none            swap            sw                      0 0
none                    /proc           proc            defaults                0 0

Danach muss man nur noch /tmp neu mounten:

mount -o remount /tmp

Jetzt sollte man sehen, dass /tmp mit dieser Option gemountet wurde:

Server root # mount | grep /tmp
/dev/hda3 on /tmp type ext3 (rw,noexec,noatime)

Dies kann man auch testen:

Server root # cd /tmp
Server tmp # echo "echo TEST" > test.sh
Server tmp # chmod +x test.sh
Server tmp # ./test.sh
bash: ./test.sh: Permission denied


Fragen, Anregungen und Wünsche bitte an deltaflyer_AT_ki-ba_DOT_net

--Deltaflyer 13:07, 4. Jul 2006 (CEST)

Weitere Hinweise

Achtung bei der Installation oder beim Upgrade von Softwarekomponenten. Oftmals legen diese Scripte, die zur Konfiguration ausgeführt werden müssen, in /tmp/ ab. Ist dieses mit noexec gemountet kann die Software oftmals nicht richtig installiert werden und / oder konfiguriert werden. Das kann auch dazu führen, dass teile des Servers plötzlich nicht mehr funktionsfähig sind. Daher vor Benutzung der Update-Funktionen (z.b. apt-get) das Verzeichnis wieder normal ohne noexec-Flag mounten.



© 2019. Hetzner Online GmbH. Alle Rechte vorbehalten.