DirectAdmin - это удобная панель управления хостингом. Легкость в настройке, легкость в использовании!
ДиректАдмин - это самая быстрая и нересурсоемкая панель из всех существующих коммерческих панелей управления для хостинга. Бесплатные и регулярные обновления версии панели DirectAdmin на протяжении всего времени ее использования заметно выделяют ее среди других.



Как примонтировать /tmp на VPS с опциями noexec, nosuid

25.09.10 20:15

По материалам сообщения форума http://www.eukhost.com/forums/f29/how-do-i-mount-tmp-vpses-noexec-nosuid-options-1025/#post4823

Руководство для администраторов HN. Все предложенные операции проделывать на мастер (хост) машине.

Идея заключается в создании отдельного специального файла, который будет содержать в себе файловую систему раздела /tmp для клиентских VPS. Этот файл мы будем монтировать как Loop устройство Linux с опциями noexec и nosuid.

1. Создаем специальный файл, файловую систему в нем и монтируем:

# dd if=/dev/zero of=/vz/tmpVE bs=1k count=2000000
# losetup /dev/loop0 /vz/tmpVE
# mkfs.ext3 /dev/loop0
# mkdir /vz/tmpVEs
# mount /dev/loop0 /vz/tmpVEs -o noexec,nosuid,nodev,rw

2. Для автоматизации процесса добавляем в файл /etc/sysconfig/vz-scripts/dists/scripts/postcreate.sh следующие строки (можно проигнорировать, если нет необходимости выносить /tmp для всех VEs):

function vztmpsetup()
{
   VEID=`basename $VE_ROOT`
   cp /etc/sysconfig/vz-scripts/new.mount /etc/sysconfig/vz-scripts/$VEID.mount
   cp /etc/sysconfig/vz-scripts/new.umount /etc/sysconfig/vz-scripts/$VEID.umount

   if [ "$" != "" ]; then
      [ -d /vz/tmpVEs/$ ] && rm -rf /vz/tmpVEs/$VEID/*
   fi

   chmod 755 /etc/sysconfig/vz-scripts/$VEID.mount /etc/sysconfig/vz-scripts/$VEID.umount
}

vztmpsetup

exit 0

3. Создаем "/etc/sysconfig/vz-scripts/new.mount" (скрипт, в котором будет монтироваться раздел /tmp для запускаемого контейнера):

#!/bin/bash
#
# if one of these files does not exist then something is really broken
[ -f /etc/sysconfig/vz ] || exit 1
[ -f $VE_CONFFILE ] || exit 1
[ -f /etc/sysconfig/vz-scripts/$VEID.conf ] || exit 1
# Source configuration files to access $VE_ROOT
. /etc/sysconfig/vz
. $VE_CONFFILE
[ -e /vz/tmpVEs/$VEID ] || mkdir /vz/tmpVEs/$VEID
mount --bind /vz/tmpVEs/$VEID $VE_ROOT/tmp

4. Создаем "/etc/sysconfig/vz-scripts/new.umount" (скрипт, в котором будет происходить размонтирование раздела /tmp для останавливаемого контейнера):

#!/bin/bash
# if one of these files does not exist then something is really broken
[ -f /etc/sysconfig/vz ] || exit 1
[ -f $VE_CONFFILE ] || exit 1
# Source configuration files to access $VE_ROOT
. /etc/sysconfig/vz
. $VE_CONFFILE
# Unmount shared directory
if grep "/vz/root/$VEID/tmp" /proc/mounts >/dev/null; then
umount $VE_ROOT/tmp
fi

5. Для автоматического запуска loop добавляем в "/etc/rc.sysinit" следующие строки (запускаем loop устройство и монтируем его с запуском операционной системы на HN):

losetup /dev/loop0 /vz/tmpVE
mount /dev/loop0 /vz/tmpVEs -o noexec,nosuid,nodev,rw

 

Конечно можно все это сделать и без loop устройств. Для этого выделяем под клиентские директории /tmp на диске отдельный раздел или том LVM. Естественно, чтобы использовать такой вариант, заранее планируйте разметку диска(-ов).





Рубрики: Защита OpenVZ


« dovecot: User is missing UID (see mail_uid setting)  | В начало |  Сборка PHP: другие ошибки »



Вам нужна помощь или консультация по данному руководству?! Задайте свой вопрос на форуме. Вам нужен профессионал?! Воспользуйтесь услугами системного администратора для работ по вашему серверу. Мы поможем вам с переездом, настройкой, оптимизацией сервисов, равно как и с другими вопросами по части Linux/Unix.







   Все права на панель управления Directadmin принадлежат разработчику © DirectAdmin, JBMC Software, Canada
   К вашим услугам плагины для Директадмин - панели управления хостингом
   Лучшее предложение по установке, поддержке Directadmin на CentOS/RedHat, Debian/Ubuntu, FreeBSD.
   Профессиональное абонентское обслуживание серверов: выделенных и виртуальных на базе Linux/Unix.
   Услуги системного администратора по настройке WEB сервера Apache (NGINX), DNS службы, POP3 (IMAP) и SMTP, FTP.
 Copyright, 2019 © DAHELP.RU, all rights reserved.
Работает на Amiro CMS - Free