http://www.opennet.ru/opennews/art.shtml?num=28338
Еще один повод держать /tmp отдельно от всей системы.
Итак, простой способ обезопаситься от этой неприятной уязвимости - строчка в /etc/fstab приведеная ниже
none /tmp tmpfs nodev,nosuid,noexec,size=500M,mode=01777 0 0
Небольшое замечание, в этом случае стоит swap выделять с учетом места под tmpfs.
/var/calculate также стоит примонтировать с ключами nosuid,noexec, но пока /var/calculate/tmp/portage находится в /var/calculate будут проблемы со сборкой.
Выходом может быть:
-
Либо строки в fstab
/dev/sda5 /var/calculate auto nosuid,noexec 0 0
none /var/calculate/tmp/portage tmpfs suid,exec,size=3G,nr_inodes=1M,mode=01770,uid=portage,gid=portage 0 0
Размер 3G указан условно, я обычно ставлю 7G, все равно они бывают все заняты крайне редко
Правда при сборке крупных пакетов будет сильно использоваться своп. ЭТО НАДО УЧИТЫВАТЬ!!!
2. Либо перемонтировать /var/calculate перед сборкой системы командой
mount -o remount,suid,exec /var/calculate
Стоит обратить внимание, первый метод уже обсуждался на форуме. были недовольные, утверждалось, что сборка падает при /var/calculate/tmp/portage в tmpfs. У меня ни разу таких проблем не было (была один раз проблема с недостатком виртуальной памяти, ну так это от того, что я доп. своп не подключил, а основной был слишком мал).
**_
PS
Прочел, сам проверять не стал(ибо /tmp у меня в tmpfs), но сюда запостил.
И только после этого комменты почитал.
Спасибо дефолтной FEATURES=sfperms
Оказывается гента уязвимости не подвержена, права на все с suid по дефолту go-r, поэтому и чтение из хардлинка обычным юзером будет недоступно.
Зря только волновался. ))
Тем не менее пост удалять не стал. Может кто высказаться по этому поводу захочет.
Да и это не единственная причина держать /tmp отдельно от корня. Как минимум - чем меньше операций записи в корень, тем меньше шанс получить поломанную фс в врезультате какого-то сбоя.