私は Fedora Core を使用しています。ユーザーがデータを投稿するパーティション /data を作成する予定です (すべてのユーザーに r+w 権限があります)。したがって、セキュリティ上の理由から、これを実行不可にする必要があります。
Linux セキュリティから、マウント中に /data に対して と の両方を有効にする必要があることをnoexec理解しています。私はそれを理解しており、有効にしています。しかし、有効にしていません。nosuidnoexecnosuid
/data に対して と の両方を有効にする必要がある理由はありますか?ユーザーがスクリプトやその他のプログラムを実行できないので、noexecと の両方を有効にするだけで十分ではないでしょうか?nosuidnoexecnosuid
答え1
mountマニュアルページによると
実行不可
マウントされたファイルシステム上のバイナリを直接実行しないでください。(最近までは、/lib/ld*.so /mnt/binary などのコマンドを使用してバイナリを実行することが可能でした。このトリックは、Linux 2.4.25 / 2.6.0 以降では機能しません。)
したがって、これは、すべてのバイナリの実行を停止しなかったときの古いアドバイスのように見えますnoexec。少なくとも、それらはルート権限で実行されませんでした。