Arrow  Güvenli Bağlantı Noktaları
Bağlantı noktası (mount point)ayarlarını sisteme giriş yapmış bir saldırganın daha derine inmesini engellemek için kullanabiliriz.
Bir Unix sistemini kullanabilmenin ilk yolu dosya sisteminden geçmektedir.Bu yüzden bir saldırgan sisteme girdiginde yapmaya çalışacağı işlemleri dosya sistemini ve bağlantı noktalarını kullanarak sınırlandırabiliriz.
Bağlantı seçenegi,dosya sistemine nasıl girilebileceğini belirten bir bayrak olarak adlandırabilir.Dosya sistemi çalıştırıldığında işletim sistemi çekirdeğine (kernel)aktarılır.Bağlantı seçenekleri dosyaların birer aygıt düğümü olarak algılanmasını durdurarak çalıştırılmalarını ve SUID bitinin 1 (nodev,noexec ve nosuid bayraklarını kullanarak) etkin olmasını engeller.Dosya sistemleri ayrıca ro seçeneği kullanılarak bağlanılabilmektedir.
Bu seçenekler komut satırından mount komutu –o bayrağı ile kullanarak belirtilir.Örneğin eğer /tmp ilk IDE sabit diskinizin üçüncü bölümünde ayrı bir bölümde bulunuyorsa nodev,noexec ve nosuid bayrakları ile aşağıdaki şekilde bağlantı yaratabilirsiniz.
# mount -o nodev,noexec,nosuid /dev/hda3 /tmp
/etc fstab dosyasına koyabileceginiz muadili ise aşağıdaki gibi görünecektir.
/dev /hda3 /tmp ext3 defaults,nodev,noexec,nosuid 1 2

Gereksinimlerinizi göz önüne alarak ve disklerinizi bölümlere ayırarak sisteminize giren bir saldırganın işini daha da zorlaştırabilirsiniz.Bunu yapmanın en kolay yolu ise sisteminizi ayırıp sistemin çalışabilmesi için üzerine yazılması gerekli bölümleri ve gerekli olmayan bölümleri ayırmaktır.Sadece-okunur(read-only) bayrağını sistemin çok fazla değişmeyen bölümlerinde kullanmak -örneğin /usr-,sisteminizin güvenliğini arttırmaya yardımcı olacaktır.
Her ne kadar /home gibi dizinler okuma-yazma bayrağı ile bağlantı gerektirse de çoklu bir sistemde bulunan kullanıcıların SUID kodları çalıştırması veya kendi /home dizinlerinde aygıt dosyaları yaratmaları gerekmeyecektir.Bu yüzden kullanıcı /home dizinlerini nodev ve nosuid seçenekleri ile bağlanmış ayrı bir dosya sisteminde tutmak yerinde bir karardır.Buna ek olarak da eğer kullanıcıların kendi ev dizinlerinde program çalıştırmaları gerekmiyorsa bu seçeneklerin arasına noexec bayrağı da eklenebilir.Buna benzer durumlar genelde SUID ve SUID olmayan kodların çalıştırılması ve aygıt dosyalarına erişim gerekmeyen /tmp ve /var dosya sistemleri için de geçerli olacaktır.
Bu önlem saldırganın /tmp veya kullanıcıların ev dizinleri içine herhangi bir Trojan yazılımı bırakmasını engeller.Saldırgan yazılımı yüklese bile gerekli chmod bitleri olmadan çalıştıramıyacaktır.Nodev de çalıştırılan servisler chroot ortamı içinde /dev/log ve /dev/null altında bulunmak zorunda oldukları için,dosya sisteminde chroot altında belirtilmişlerdir.
Bu önlemler alınsa bile hala saldırganın bağlantı seçeneklerini atlatabileceği yollar bulunmaktadır.Örneğin noexec seçeneği Linux da /lib/ld-linux.so kullanılarak geçilebilmektedir.İlk bakışta her ne kadar bu yöntem ld-linux.so dosyasını çalıştıramaz olarak atama yöntemi ile geçilebilecek gibi de gözükse bu yöntem tüm bağlantı yapılmış kodları çalıştırılamaz hale getirmeye yol açaçagından dolayı pek pratik bir yöntem değildir.Eğer sisteminizde çalışan programlar statik olarak bağlantılı değil ise noexec seçeneği size kullanım olanağı bırakmayacaktır.Buna ek olarak zaten root olarak giriş yapmış bir saldırgan tüm dosya sistemlerini –o remount seçeneği ile tekrar bağlayabilme iznine sahip olacağından pek bir işe de yaramaz.Bu yüzden tüm bu bağlantı bayraklarını kullanarak saldırganı root kullanıcısı olmadan durdurabilme şansınız bulunmaktadır.