このサーバーは、インストール時、細々とパーテーションを区切りましたね。
いろいろな理由がありますが、そのなかで、「特定の制限を加えてマウントできる」というのがあります。
そんなわけで、マウント部の調整。
/tmp。
ここは文字通り、プログラムなどが一時的にファイルを書き出すところ。
昔、ここにバグを利用してファイルを書き出して、うまくクラッキングソフトを押し込んだ攻撃がありました。
なので、/tmpは別マウントして、かつ、実行が出来ないようにしておくと、より安全になります。
パーテーションのマウントの制御は、 /etc/fstab に書かれています。
LABEL=/ / ext3 defaults 1 1 none /dev/pts devpts gid=5,mode=620 0 0 LABEL=/home /home ext3 defaults 1 2 none /proc proc defaults 0 0 none /dev/shm tmpfs defaults 0 0 LABEL=/tmp /tmp ext3 defaults 1 2 LABEL=/usr /usr ext3 defaults 1 2 LABEL=/var /var ext3 defaults 1 2 /dev/hda5 swap swap defaults 0 0 /dev/cdrom /mnt/cdrom iso9660 noauto,owner,kudzu,ro,io charset=euc-jp 0 0 /dev/fd0 /mnt/floppy auto noauto,owner,kudzu,iocharset=euc-jp 0 0
/tmp 
まず、/tmp の中にあるファイルが実行である必要はまずないでしょう。なので、ここは実行できないように noexec を設定しておきます。
さらに、デバイス(/dev以下のデバイスファイル郡)を参照することもありえません。 nodev も設定しておきます。
また、SUID や SGID も無効にしておきましょう。nosuidを設定します。
LABEL=/tmp /tmp ext3 defaults,noexec,nodev,nosuid 1 2
/usr
/usr 以下には、多くの実行ファイルがあります。またパスなどもおもいっきり通っているので、ここになにかを放り込まれると大変です。 ro オプションで、リードオンリーにしておきます。
LABEL=/usr /usr ext3 defaults,ro,nodev 1 2
/home
/homeは当然、様々なユーザーが使う場所です。なので、当然 rw で読み書きが可能でなくてはこまります。
また、CGIなどを設置する場合もありえますので、 exec で実行ができるようにしておきます。
えと、まぁそんな感じでこんなふうに。
LABEL=/home /home ext3 rw,nosuid,nodev,exec 1 2
動作中のマウントオプション変更
ちなみに、この /etc/fstab での設定は、あくまでも起動時の話。たとえば、ソフトをインストールしたい等で、/usr を一時的に書き込み可能にしたい場合は、
mount /usr -o remount,rw
こんなんで変更できる。
さあ、/etc/fstab の編集が終わったら、念のため再起動して、うまく設定されているかどうかを確認しておこう。
