mount-Option nosuid

SteWo

OpenBSD User
Hallo Unix-Gemeinde,

im Rahmen des Upgrades auf OpenBSD 4.1 habe ich mir noch einmal die /etc/fstab angesehen. Und mußte mir ehrlicherweise eingestehen, daß ich da seit Jahren die Option "nosuid" eingetragen habe, ohne wirklich verstanden zu haben, was dies bedeutet.

man mount(8) sagt:
Do not allow set-user-identifier or set-group-identifier bits to take effect
man fstab(5) nutzt im Beispiel auch diese Option, erläutert sie aber nicht. Unter Google habe ich zwar vieles zu mount(8) gefunden, aber "nosuid" wurde nirgends erläutert. Oder ich habe einfach die falschen Stichwörter genutzt... ;'(

Lediglich die root-Partition ist bei mir nicht mit dieser Option gemountet, alle anderen (/etc, /home, /tmp, /usr, /var, aber auch Nicht-ffs-Partitionen wie /proc, /cdrom, /usb) sind mit der Option "nosuid". Macht dies Sinn? Oder handele ich mir damit unbewußt in bestimmten Szenarien ein Sicherheitsproblem ein? :confused:

Ich weiß, dies ist kein OpenBSD-spezifisches Thema, aber ich wußte nicht so recht wohin damit. Über eine kurze Erklärung oder einen weiterführenden Link würde ich mich freuen.

Vielen Dank und allen ein schönes Wochenende!

SteWo
 
Das ganze steigert die Sicherheit des Systems eher.

Damit können auf den Partitionen keine suid-Programme ausgeführt werden, die ein Sicherheitsrisiko darstellen weil sie mit root-Rechten laufen unabhängig davon welcher Nutzer sie ausführt.

/etc, /var, /tmp und evtl. /home könntest du sogar noexec mounten, damit wären auf diesen überhaupt keine ausführbaren Dateien mehr möglich.
 
Hi Maxx,

vielen Dank für die schnelle Antwort. Sie beruhigt mich etwas - ich hatte die Erläuterung in man mount(8) irgendwie genau andersherum verstanden...

/tmp habe ich in der Tat mit den Optionen noexec und async gemounted. Aber Du hast eigentlich Recht - auch /home, /var und /etc sollte man mit noexec mounten. Jedenfalls sehe ich nicht, daß dies zu Einschränkungen im Alltag führen könnte.

Mit dem Stichwort "suid" bin ich gleich einmal zu Wikipedia und kann jetzt weiterforschen.

Mercí - Du hast mir wirklich geholfen!

Gruß,
SteWo
 
Nachfrage wg OOo

Nochmal nachgefragt:

Damit OOo läuft, habe ich /proc wie folgt angelegt:
Code:
/proc  /proc  procfs rw,nosuid,linux  0  0
ABER: Es gibt keine Partition für /proc auf der Festplatte, wird also unter / eingehängt. Und / ist nun ohne nosuid... Kollidieren diese zwei mounts?

Problem: OOo friert immer wieder mal ein, bleibt einfach stehen, rien ne va plus. :confused:

OOo gehört dabei root, Gruppe wheel. Aufgerufen wird "soffice" jedoch ohne root-Rechte. Wenn ich Maxx richtig verstanden habe, führt die Option nosuid nun genau dazu, daß eventuell benötigte Programme aus /proc eben NICHT ausführbar sind?

Brauch ich jetzt einfach nur mal Urlaub oder hängt das irgendwie zusammen?

Gruß,
SteWo
 
/proc beinhaltet keine programme. es ist auch keine physische partition, sondern ein virtuelles dateisystem.

dass OOo einfriert kann viele ursachen haben, jedoch denke ich nicht, dass diese an nosuid liegen.

auf bald
oenone
 
Zurück
Oben