Come far si che i dispositivi usb siano montati "noexec"?

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Avatar utente
Wilson
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3539
Iscrizione: domenica 20 novembre 2005, 14:47
Desktop: Unity
Distribuzione: Edubuntu 15.04 x86_64
Località: Torino

Come far si che i dispositivi usb siano montati "noexec"?

Messaggio da Wilson »

Volevo provare a seguire questa guida per rendere un'installazione Ubuntu particolarmente sicura e, tra le altre cose consiglia di far montare come "noexec" le partizioni in cui gli utenti hanno permesso di scrittura, per ridurre la possibilità di eseguire malware; però se monto una chiavetta questa non viene montata con quest'opzione: c'è un modo per impostare noexec come default e rendere necessario montare esplicitamente con l'opzione "exec" i volumi "fidati"?
-- Provate Ubuntu! Innocuo se usato secondo le istruzioni --
Avatar utente
steff
Moderatore Globale
Moderatore Globale
Messaggi: 40299
Iscrizione: domenica 18 febbraio 2007, 19:48
Desktop: LXQt+labwc
Distribuzione: Arch; Debian; Ubuntu Server
Sesso: Maschile
Località: Toscana
Contatti:

Re: Come far si che i dispositivi usb siano montati "noexec"

Messaggio da steff »

Bella guida, l'ho letto di un po' di traverso e non ho trovato il discorso del usb. Non ho trovato neanche su arch come modificare il comportamento di default, penso perché viene gestito dai vari DE, in Kde puoi impostare l'automount ma non i opzioni. Ma sempre in kde ho visto che mi funzionano le regole udev, del tipo:

Codice: Seleziona tutto

KERNEL=="sd?1", ATTRS{vendor}=="JetFlash", NAME="%k",  SYMLINK+="pennina"
ACTION=="add", KERNEL=="sd?1", ATTRS{vendor}=="JetFlash", ATTRS{model}=="TS256MJF2B/2L", RUN+="/bin/mkdir /mnt/pennina"
ACTION=="add", KERNEL=="sd?1", ATTRS{vendor}=="JetFlash", ATTRS{model}=="TS256MJF2B/2L", RUN+="/bin/mount -t vfat -o sync,flush,uid=1000,gid=100 /dev/pennina /mnt/pennina"
 ACTION=="remove", KERNEL=="sd?1", ENV{ID_VENDOR}=="JetFlash", ENV{ID_MODEL}="TS256MJF2B/2L", RUN+="/bin/umount /mnt/pennina"
ACTION=="remove", KERNEL=="sd?1", ENV{ID_VENDOR}=="JetFlash", RUN+="/bin/rmdir /mnt/pennina"
Questo era per una certa penna, ma forse è possibile scrivere delle regole generali
KERNEL=="sdb1", SYMLINK+="penna1"

ecc
KERNEL=="sdc1" , SYMLINK+="penna2"
ecc

ma andrebbe provato tutto, anche se si può opprimere il -t vfat e le opzioni (user sarebbe buona in quanto include noexec)
Poi l'umount succede in verità quando si sfila la penna, altrimenti chiede il passwd, non è il massimo.

PS: ho cercato meglio, ecco, l'idea era quella ma c'è già elaborata alla meglio (indovina dove...)
https://wiki.archlinux.org/index.php/Ud ... e_presente
Hai fatto un backup oggi? Ieri?? Quando???
La Documentazione da consultare e la FAQ sul uso del forum
Sistemi: LXQt - semplice, modulare e configurabile + *ubuntu in Vbox
Avatar utente
Wilson
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3539
Iscrizione: domenica 20 novembre 2005, 14:47
Desktop: Unity
Distribuzione: Edubuntu 15.04 x86_64
Località: Torino

Re: Come far si che i dispositivi usb siano montati "noexec"

Messaggio da Wilson »

Non parlano di USB, purtroppo, è un estensione del genericissimo punto 9.1 ç.ç

ps: ma come mai non è possibile indicare al kernel che il default è noexec? (cosa che risolverebbe anche l'altro e più grave problema con il noexec che ho)
Ultima modifica di Wilson il lunedì 24 febbraio 2014, 20:09, modificato 1 volta in totale.
-- Provate Ubuntu! Innocuo se usato secondo le istruzioni --
Avatar utente
steff
Moderatore Globale
Moderatore Globale
Messaggi: 40299
Iscrizione: domenica 18 febbraio 2007, 19:48
Desktop: LXQt+labwc
Distribuzione: Arch; Debian; Ubuntu Server
Sesso: Maschile
Località: Toscana
Contatti:

Re: Come far si che i dispositivi usb siano montati "noexec"

Messaggio da steff »

Per usb? Secondo me già adesso sono le regole udev, ma in /usr/lib/udev/ bisogna capire qual'è quella per hd usb e mmc e cd perché no.
Da me su arch è 80-udisks2.rules penso, ma è complessa.
Hai fatto un backup oggi? Ieri?? Quando???
La Documentazione da consultare e la FAQ sul uso del forum
Sistemi: LXQt - semplice, modulare e configurabile + *ubuntu in Vbox
Avatar utente
Wilson
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3539
Iscrizione: domenica 20 novembre 2005, 14:47
Desktop: Unity
Distribuzione: Edubuntu 15.04 x86_64
Località: Torino

Re: Come far si che i dispositivi usb siano montati "noexec"

Messaggio da Wilson »

mmm, ho dato "cat /lib/udev/rules.d/* |grep mount" e trova solo tre righe di commenti: mi sa che se c'è una regola non è li (dovrebbe contenere la stringa "/bin/mount" da qualche parte, no?)
-- Provate Ubuntu! Innocuo se usato secondo le istruzioni --
Avatar utente
steff
Moderatore Globale
Moderatore Globale
Messaggi: 40299
Iscrizione: domenica 18 febbraio 2007, 19:48
Desktop: LXQt+labwc
Distribuzione: Arch; Debian; Ubuntu Server
Sesso: Maschile
Località: Toscana
Contatti:

Re: Come far si che i dispositivi usb siano montati "noexec"

Messaggio da steff »

vero, ho guardato solo superficialmente... ma anche cercando in rete si finisce sempre lì da udev o quasi (modificando sorgenti)
http://askubuntu.com/questions/30762/is ... t-possible
Hai fatto un backup oggi? Ieri?? Quando???
La Documentazione da consultare e la FAQ sul uso del forum
Sistemi: LXQt - semplice, modulare e configurabile + *ubuntu in Vbox
Avatar utente
Ubuntello
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 564
Iscrizione: sabato 27 novembre 2010, 19:42

Re: Come far si che i dispositivi usb siano montati "noexec"

Messaggio da Ubuntello »

Ciao Wilson,

ti consiglierei di installare il pacchetto "usbmount" in modo da raggiungere il tuo scopo. ;)
Ti lascio il mio file di configurazione "/etc/usbmount/usbmount.conf" come esempio:

Codice: Seleziona tutto

# Configuration file for the usbmount package, which mounts removable
# storage devices when they are plugged in and unmounts them when they
# are removed.

# Change to zero to disable usbmount
ENABLED=1

# Mountpoints: These directories are eligible as mointpoints for
# removable storage devices.  A newly plugged in device is mounted on
# the first directory in this list that exists and on which nothing is
# mounted yet.
MOUNTPOINTS="/media/usb0 /media/usb1 /media/usb2 /media/usb3
             /media/usb4 /media/usb5 /media/usb6 /media/usb7"

# Filesystem types: removable storage devices are only mounted if they
# contain a filesystem type which is in this list.
FILESYSTEMS="ext2 ext3 ext4 vfat ntfs"

#############################################################################
# WARNING!                                                                  #
#                                                                           #
# The "sync" option may not be a good choice to use with flash drives, as   #
# it forces a greater amount of writing operating on the drive. This makes  #
# the writing speed considerably lower and also leads to a faster wear out  #
# of the disk.                                                              #
#                                                                           #
# If you omit it, don't forget to use the command "sync" to synchronize the #
# data on your disk before removing the drive or you may experience data    #
# loss.                                                                     #
#                                                                           #
# It is highly recommended that you use the pumount command (as a regular   #
# user) before unplugging the device. It makes calling the "sync" command   #
# and mounting with the sync option unnecessary---this is similar to other  #
# operating system's "safely disconnect the device" option.                 #
#############################################################################
# Mount options: Options passed to the mount command with the -o flag.
# See the warning above regarding removing "sync" from the options.
MOUNTOPTIONS="nosuid,nodev,noexec,noatime"

# Filesystem type specific mount options: This variable contains a space
# separated list of strings, each which the form "-fstype=TYPE,OPTIONS".
#
# If a filesystem with a type listed here is mounted, the corresponding
# options are appended to those specificed in the MOUNTOPTIONS variable.
#
# For example, "-fstype=vfat,gid=floppy,dmask=0007,fmask=0117" would add
# the options "gid=floppy,dmask=0007,fmask=0117" when a vfat filesystem
# is mounted.
FS_MOUNTOPTIONS="-fstype=vfat,uid=1000,gid=nogroup,dmask=0077,fmask=0177
                 -fstype=ntfs,uid=1000,gid=nogroup,dmask=0077,fmask=0177"

# If set to "yes", more information will be logged via the syslog
# facility.
VERBOSE=no
mednafen-it - Gruppo di utenti italiani dell'emulatore Mednafen | Retro games: hidden gems - top titles - genre guides | Recommended games | Configurazione giochi Windows: Wine Staging con esync (dalla 4.6), drive_c +F + DXVK + vkd3d-proton + patch force feedback e force-large-address-aware
Avatar utente
Wilson
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3539
Iscrizione: domenica 20 novembre 2005, 14:47
Desktop: Unity
Distribuzione: Edubuntu 15.04 x86_64
Località: Torino

Re: Come far si che i dispositivi usb siano montati "noexec"

Messaggio da Wilson »

mmm, onestamente non vorrei sovrappormi al montaggio automatico offerto dal sistema, ma se non trovo altre soluzioni proverò questa (che almeno ha un file di configurazione noto).
-- Provate Ubuntu! Innocuo se usato secondo le istruzioni --
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 6 ospiti