LINUX.ORG.RU

ecryptfs noexec

 ,


0

1

Здрасьте. Ребята, подскажите почему ecryptfs монтирует домашний каталог не с опцией noexec, хотя в fstab прописано:

 cat /etc/fstab
# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    nodev,noexec,nosuid 0       0
# / was on /dev/sda3 during installation
UUID=d9a5ddae-920e-453a-aeab-491ce5585c74 /               ext4    defaults,relatime,discard,errors=remount-ro 0       1
# /Data was on /dev/sda2 during installation
UUID=f74cd085-561f-4124-8ef2-7b6309efc792 /Data           ext4     defaults,noexec,nosuid        0       2
# /home was on /dev/sda4 during installation
UUID=c80c27f4-f279-4fca-897e-9b26e745d4ee /home           ext4     defaults,noexec,nosuid        0       2
UUID=59c6c2a9-5691-4875-908d-19ddf04a133a    /var/log    ext4    defaults,relatime   2       2
tmpfs /tmp tmpfs defaults,noexec,nosuid,size=1000M 0 0
И вообще где можно указать параметры монтирования ecryptfs если в fstab про него ничего нет, но при логине каталог подключен и расшифрован.
mount
/dev/sda1 on / type ext4 (rw,relatime,discard,errors=remount-ro)
proc on /proc type proc (rw,noexec,nosuid,nodev)
sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)
none on /sys/fs/fuse/connections type fusectl (rw)
none on /sys/kernel/debug type debugfs (rw)
none on /sys/kernel/security type securityfs (rw)
udev on /dev type devtmpfs (rw,mode=0755)
devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=0620)
tmpfs on /tmp type tmpfs (rw)
tmpfs on /run type tmpfs (rw,noexec,nosuid,size=10%,mode=0755)
none on /run/lock type tmpfs (rw,noexec,nosuid,nodev,size=5242880)
none on /run/shm type tmpfs (rw,nosuid,nodev)
/dev/sdb3 on /var/log type ext4 (rw,relatime)
/dev/sdb4 on /home type ext4 (rw,noexec,nosuid)
/dev/sdb2 on /Data type ext4 (rw,noexec,nosuid)
/home/netcat/.Private on /home/netcat type ecryptfs    (ecryptfs_check_dev_ruid,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs,ec    ryptfs_sig=ffb7781e17defc33,ecryptfs_fnek_sig=29053d694c1c59f8)

Конкретно по твоей проблеме не подскажу. Но /tmp с noexec не нужно монтировать, иначе c initramfs могут быть проблемы, в частности допустим swap не будет шифроваться, если он конечно есть.
Лечится удалением cryptsetup и переустановкой. Перед этим конечно нужно монтировать /tmp без noexec

anonymous_sama ★★★★★ ()
Ответ на: комментарий от anonymous_sama

да, есть такое. У меня есть скиптик для обновления(update,upgrade,dist-upgrade,clean) так в начале /tmp перемонтируется без noexec. А в остальное время noexec включен.

net_cat ()
Ответ на: нет от net_cat

нагуглилось здесь на лоре

1) sudo apt-get install libpam-mount
2) в /etc/security/pam_mount.conf.xml добавил
<volume user="pershin" fstype="tmpfs" path="tmpfs" mountpoint="/home/pershin/test" options="uid=%(USER),mode=0700" /> 

Тема

проблема в том, что товарищу нужно было каталог внутри шифрованного /home примонтировать после расшифровки и логина, мне же нужно просто изменить параметры монтируемого /home.

net_cat ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.