Справочный центр

Дерево страниц

Сравнение версий

Старая версия 13

changes.mady.by.user $userName

Сохранено

по сравнению с

Новая версия 14

changes.mady.by.user $userName

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

На возможность запуска сценариев и исполняемых файлов, расположенных в файловых системах, примонтированных с помощью FUSE влияют:

  • разрешение установки бита исполнения;
  • значение параметра ядра parsec.enable_exec_on_fuse (доступен начиная с версии 4.15.3-1.astra25 пакета linux-astra-modules).
В целях повышения защищенности системы
Предупреждение

Указанные выше разрешения небезопасны, так как предоставляют возможность запуска файлов, компрометирующих систему.

При этом:

  1. Запрет установки бита исполнения по умолчанию отключен.
  2. Для сохранения работоспособности некоторых программ запуск сценариев и исполняемых файлов, расположенных в файловых системах
(ФС)
  1. ,
монтируемых
  1. примонтированных с помощью FUSE по умолчанию разрешен.
  2. При включении запрета установки бита исполнения для предотвращения обхода этого запрета запрещается также запуск исполняемых файлов,
в ОС Astra Linux по умолчанию ЗАПРЕЩЕН. Разрешение запуска таких файлов небезопасно и может привести к компрометации системы
  1. расположенных в файловых системах, примонтированных с помощью FUSE.

Чтобы при включенном запрете установки бита исполнения разрешить запуск исполняемых файлов, расположенных в файловых системах, примонтированных с помощью FUSE необходимо присвоить параметру ядра parsec.enable_exec_on_fuse значение 1.


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20190222SE16 (оперативное обновление 2)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 с установленным обновлением Бюллетень № 20201007SE16
  • Astra Linux Common Edition 2.12


В пакет linux-astra-modules начиная с версии 4.15.3-1.astra25 добавлен параметр Для изменения значения параметра ядра parsec.enable_exec_on_fuse, управляющий возможностью запуска сценариев и исполняемых файлов из ФС, смонтированных с помощью FUSE.

Информация
Разрешение запуска с помощью параметра parsec.enable_exec_on_fuse не работает при включенном запрете установки бита исполнения. При разрешении запуска файлов по возможности следует ограничить типы запускаемых файлов, включив блокировку интерпретаторов.

Значение этого параметра по умолчанию равно нулю, то есть запуск сценариев и исполняемых файлов из ФС, смонтированных с помощью FUSE, по умолчанию ЗАПРЕЩЕН.

  • В файле
Для разрешения запуска исполняемых файлов из ФС, смонтированных с помощью FUSE, следует в файле 
  • /etc/default/grub изменить строку параметров ядра,
задаваемых
  • загружаемого по умолчанию, указав в ней нужное значение
параметра
  • , например, значение 1 для разрешения запуска сценариев и исполняемых файлов, расположенных в файловых системах, примонтированных с помощью FUSE:
    Блок кода
    GRUB_CMDLINE_LINUX_DEFAULT="parsec.max_ilev=63 parsec.enable_exec_on_fuse=1 quiet net.ifnames=0"
  • По необходимости внести аналогичные исправления в строки параметров других используемых ядер.
  • После внесения изменений обновить параметры загрузчика и перезагрузить систему:
    Command
    sudo update-grub
    sudo reboot