blog.garaż.net

07 grudzień 2008

System plików i estetyka

Tym razem o mało używanych rzeczach ale dodających trochę estetyki, mianowicie wyłączaniu prawa wykonania na systemach plików bez możliwości ustawiania uprawnień w stylu Uniksa.

Co w tym estetycznego? Sam nie wiem, może to moje zboczenie, ale warto dobrze to ustawić ze względu chociażby na część oprogramowania, które w pierwszej kolejności patrzy na flagę wykonywalności, a nie rozszerzenie przy rozpoznawaniu typów plików, skutecznie blokując domyślnie skojarzone akcje.

Co gdzie ustawić?

Oczywiście wszystkie modyfikacje dotyczą jedynie jednego pliku /etc/fstab, który posiada zazwyczaj takie wpisy dotyczące np. systemów plików typowych dla „Okienek":

/dev/hda2 /mnt/win1  ntfs utf8=true,mask=0 0 0
/dev/hda6 /mnt/share vfat utf8=true,mask=0 0 0

Opcja mask jest odpowiedzialna (zresztą jak sama nazwa wskazuje) za maskowanie praw, które chcemy zablokować. I tak, jeśli normalnie plik ma prawa np. 777, to taka sama maska spowoduje, że w końcowym rozrachunku wszystkie prawa będą zablokowane (1 + 2 + 4, gdzie 1 - wykonanie, 2 - zapis i 4 - odczyt). Dla przypomnienia podam tylko, że 3 liczby ósemkowe odpowiadają za 3 bity praw dla właściciela, grupy i innych użytkowników.

No dobrze, tylko jak zablokować możliwość wykonania dla wszystkiego poza katalogami? Oczywiście wydając polecenie man mount, dowiemy się do czego służy mask, jednak nie zawsze znajdziemy tam informacje na temat istnienia opcji dmask i fmask, służących do nadawania odpowiednich masek, selektywnie tylko dla, odpowiednio katalogów i plików -- jednak teraz już to wiedząc, wystarczy zapisać:

/dev/hda2 /mnt/win1  ntfs utf8=true,dmask=0,fmask=111 0 0
/dev/hda6 /mnt/share vfat utf8=true,dmask=0,fmask=111 0 0

i gotowe, do katalogów mamy wszystkie prawa, a zwykłe pliki pozbawione są prawa wykonania. A jeśli ktoś jest naprawdę wielkim schizolem może jeszcze dodać flagę noexec blokującą całkowicie możliwość wykonania programów z takiej partycji. ;)

Komentarze

  • Michał Górny (2008-12-07 11:23:14):

    Jeszcze były jakieś takie wiksy, których nie poleca się nikomu, że np. w zależności od rozszerzenia flagę wykonywalności nadawał bodajże.

  • vip (2008-12-07 11:38:24):

    +x czasem się przydaje, jak się chce na szybko odpalić jakiś .exe pod wine.

Comments !