© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Peter Ross wrote:
> ich habe mich gerade durch den Security Advice
> http://security.freebsd.org/advisories/FreeBSD-SA-08:08.nmount.asc
> gelesen.
> [...]
> Klar, soweit.
>
> Trotzdem, es kann sehr nützlich sein, für ein Desktopsystem z.B.,
> unpriviligierte Mounts z.B. von USB-Devices möglich zu machen.
>
> Wenn ich die Optionen in /etc/fstab vordefiniere, kann keiner mit den
> Optionen rumspielen.
>
> Wäre es sinnvoll und machbar, einen solchen Sicherheitslevel "zwischen
> vfs.usermount=0 und vfs.usermount=1" zu implementieren?
Es wäre schwierig, weil der Kernel den Inhalt der Datei
/etc/fstab nicht kennt (und nicht kennen sollte!) und
daher nicht so ohne weiteres feststellen könnte, welche
Mount-Optionen aus /etc/fstab stammen und welche nicht.
Man könnte das evtl. irgendwie hinkriegen, aber es wäre
ein "dirty hack".
Man kann sich in solchen Fällen auch damit behelfen, dass
man vfs.usermount auf 0 lässt und stattdessen ein Tool
wie "super" oder "sudo" verwendet. Damit kannst Du sehr
flexibel konfigurieren, unter welchen Umständen und mit
welchen Optionen ein normaler User ein Kommando (in diesem
Fall "mount") mit root-Rechten ausführen darf. Auf diese
Weise könntest Du den von Dir gewünschten Sicherheitslevel
implementieren.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M. Handelsregister: Registergericht Muenchen, HRA 74606, Geschäftsfuehrung: secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün- chen, HRB 125758, Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart FreeBSD-Dienstleistungen, -Produkte und mehr: http://www.secnetix.de/bsd "That's what I love about GUIs: They make simple tasks easier, and complex tasks impossible." -- John William Chambless To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Tue 09 Sep 2008 - 21:18:29 CEST