Neden noexec mevcut olduğunda nosuid ile bir bölüm monte etme ihtiyacı?

10

Fedora Core kullanıyorum. Ben kullanıcıların bazı veriler (tüm r + w izinleri) göndermek nerede bir bölüm / veri oluşturmak için. Bu nedenle, güvenlik nedeniyle, onu çalıştırılabilir yapmam gerekiyor.

Bunu Linux güvenliği anladığımız noexecve nosuidhem montaj esnasında / verileri için etkinleştirilmiş olması gerekir. Anladım noexecve etkinleştirdim. Ancak nosuidetkinleştirmedim.

/ Data için hem noexecve hem nosuidde etkinleştirilmesinin bir nedeni var mı? Sadece noexecyeterli değil - kullanıcılar komut dosyalarını ve diğer programları çalıştıramaz ve nosuidönemli değil mi?

linux  security  partitioning 
zethra
kaynak
Öyle düşünürsün [bu nosuidgereksizdir], evet. Zaten etkinleştirilmiş nosuidolsa bile etkinleştirmeniz gereken herhangi bir referanstan bahsedebilir misiniz noexec?
Celada
Aslında bunu her yerde gördüm. CIS kriterleri bile nosuid'in farklı bir kontrol / tmp bölümü olduğunu belirtir. Diğer referanslar sadece googling ile yapılır: techrepublic.com/blog/opensource/…
zethra
1
Sadece güvende olduklarını tahmin etmeliyim: yani noexecen azından ayarlamayı unutursanız hâlâ elinizde nosuid. Her iki bayrak da aynı yerde yapılandırıldığından zayıf bir argüman, bu yüzden birini unutursanız diğerini de unutursunuz!
Celada

Yanıtlar:

2

Mount Man sayfasına göre

noexec

Bağlı dosya sisteminde herhangi bir ikili dosyanın doğrudan yürütülmesine izin vermeyin. (Yakın zamana kadar /lib/ld*.so / mnt / binary gibi bir komut kullanarak ikili dosyaları zaten çalıştırmak mümkün oldu. Bu hile Linux 2.4.25 / 2.6.0'dan beri başarısız.)

Yani bu eski gibi görünüyor, noexec'in tüm ikili dosyaların çalışmasını durdurmadığı zaman, en azından root privs ile çalıştırılmadı.

peteches
kaynak
1
Yürütülebilir dosyayı bu hile ile çalıştırırsanız, set-uid izinleri alır mıydı?
Barmar
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.