Fstab exec noexecパラメータはSamba共有にどのように影響しますか

Question

manページを見る

mount.cifsにリストされている共有をマウントするために何が使用されるかのマニュアルページを見ると、/etc/fstabについて言及している注記がありますnoexec。

抜粋 - mount.cifs マニュアルページ

このコマンドは、setuid でインストールされていない限り、root のみが使用できます。setuid でインストールされている場合、noeexec および nosuid マウントフラグが有効になります。setuid プログラムとしてインストールされると、プログラムは、ユーザーマウント用のマウントプログラムによって設定された規則に従います。ただし、マウントポイントにマウントするには、マウント前にユーザーがマウントポイントに chdir() できなければならないという追加の制限があります。

smbclient(8) のような一部の samba クライアントツールは、smb.conf にあるクライアント側の設定パラメータを尊重します。これらのクライアントツールとは異なり、mount.cifs は smb.conf を完全に無視します。

これを考慮すると、マウント試行に exec/noexec オプションが含まれている場合は、そのオプションが尊重されると考えられます。さらに、mount.cifs使用方法を確認すると、そのオプションがどのように使用されるかがわかります。

抜粋 - mount.cifs の使用方法

Less commonly used options:
    credentials=<filename>,guest,perm,noperm,setuids,nosetuids,rw,ro,
    sep=<char>,iocharset=<codepage>,suid,nosuid,exec,noexec,serverino,
    mapchars,nomapchars,nolock,servernetbiosname=<SRV_RFC1001NAME>
    directio,nounix,cifsacl,sec=<authentication mechanism>,sign,fsc

マニュアルページを見ると、fstabexec/noexec の本来の目的は説明されていますが、それがすべての実行可能ファイル用か、Unix 用だけかは明記されていません。

fstab マニュアルページからの抜粋

実行 / 非実行

exec を使用すると、そのパーティションにあるバイナリを実行できますが、noexec ではそれができません。noexec は、/var のようにバイナリが含まれていないパーティションや、システムで実行したくないバイナリが含まれているパーティション、または Windows パーティションのようにシステムで実行することすらできないバイナリが含まれているパーティションに役立ちます。

exec/noexec はすべてを実行可能にしますか?

いいえ、exec/noexec 属性は、権限ビットを通じて実行可能としてマークされたものの許可を制御するだけであり、権限に直接影響を与えるものではありません。

Windows のバイナリはどうですか?

ただし、exec/noexec の設定では、Windows 実行可能ファイルは制御されず、これらの共有上に存在できる Unix 実行可能ファイルのみが制御されます。

また、CIFS/Samba 共有を経由でマウントする場合、これらがどのように機能するのか/etc/fstab、このシナリオで Windows OS がいつ登場するのかについてもわかりません。Windows は、この共有を直接マウントし、Linux を経由する必要さえありません。

テストしてみる

Unixからの例

次のようにコマンドラインから直接使用してこれをテストできますmount.cifs。次のように CIFS/Samba 共有にファイルがあると仮定します。

$ cat cmd.bash 
#!/bin/bash

echo "hi"

$ chmod +x cmd.bash

次のようにマウントして、スクリプトを実行してみますcmd.bash。

$ mount.cifs //server/cifsshare /path/to/cifsmnt -o user=joeuser,noexec

$ cd /path/to/cifsmnt
$ ./cmd.bash
bash: ./cmd.bash: Permission denied

そのオプションを省略すると、次のようになりますnoexec。

$ mount.cifs //server/cifsshare /path/to/cifsmnt -o user=joeuser

$ cd /path/to/cifsmnt
$ ./cmd.bash
hi

Windowsから

ここで私が考えられる唯一のシナリオは、Virtualbox のようなものを使用していて、Windows VM が利用できるディレクトリ内に CIFS/Samba 共有をマウントした場合です。

.exeこれをテストしたところ、このマウント設定を通じてファイルを正常に実行できました。

注記：Virtualbox の共有メカニズムを使用して\\vboxsrv、システム上のローカルホームディレクトリをマウントしました。/home/saml次に、このコマンドを実行して、CIFS/Samba 共有を内のディレクトリとしてマウントしました/home/saml。

$ mkdir /home/saml/cifsmnt
$ mount //server/cifsshare cifsmount -o user=joeuser,noexec

結論

上記の操作を行うと、exec/noexec が Windows のファイルへのアクセスを制限しないことが示されるようです。

Answer 1

manページを見る

mount.cifsにリストされている共有をマウントするために何が使用されるかのマニュアルページを見ると、/etc/fstabについて言及している注記がありますnoexec。

抜粋 - mount.cifs マニュアルページ

このコマンドは、setuid でインストールされていない限り、root のみが使用できます。setuid でインストールされている場合、noeexec および nosuid マウントフラグが有効になります。setuid プログラムとしてインストールされると、プログラムは、ユーザーマウント用のマウントプログラムによって設定された規則に従います。ただし、マウントポイントにマウントするには、マウント前にユーザーがマウントポイントに chdir() できなければならないという追加の制限があります。

smbclient(8) のような一部の samba クライアントツールは、smb.conf にあるクライアント側の設定パラメータを尊重します。これらのクライアントツールとは異なり、mount.cifs は smb.conf を完全に無視します。

これを考慮すると、マウント試行に exec/noexec オプションが含まれている場合は、そのオプションが尊重されると考えられます。さらに、mount.cifs使用方法を確認すると、そのオプションがどのように使用されるかがわかります。

抜粋 - mount.cifs の使用方法

Less commonly used options:
    credentials=<filename>,guest,perm,noperm,setuids,nosetuids,rw,ro,
    sep=<char>,iocharset=<codepage>,suid,nosuid,exec,noexec,serverino,
    mapchars,nomapchars,nolock,servernetbiosname=<SRV_RFC1001NAME>
    directio,nounix,cifsacl,sec=<authentication mechanism>,sign,fsc

マニュアルページを見ると、fstabexec/noexec の本来の目的は説明されていますが、それがすべての実行可能ファイル用か、Unix 用だけかは明記されていません。

fstab マニュアルページからの抜粋

実行 / 非実行

exec を使用すると、そのパーティションにあるバイナリを実行できますが、noexec ではそれができません。noexec は、/var のようにバイナリが含まれていないパーティションや、システムで実行したくないバイナリが含まれているパーティション、または Windows パーティションのようにシステムで実行することすらできないバイナリが含まれているパーティションに役立ちます。

exec/noexec はすべてを実行可能にしますか?

いいえ、exec/noexec 属性は、権限ビットを通じて実行可能としてマークされたものの許可を制御するだけであり、権限に直接影響を与えるものではありません。

Windows のバイナリはどうですか?

ただし、exec/noexec の設定では、Windows 実行可能ファイルは制御されず、これらの共有上に存在できる Unix 実行可能ファイルのみが制御されます。

また、CIFS/Samba 共有を経由でマウントする場合、これらがどのように機能するのか/etc/fstab、このシナリオで Windows OS がいつ登場するのかについてもわかりません。Windows は、この共有を直接マウントし、Linux を経由する必要さえありません。

テストしてみる

Unixからの例

次のようにコマンドラインから直接使用してこれをテストできますmount.cifs。次のように CIFS/Samba 共有にファイルがあると仮定します。

$ cat cmd.bash 
#!/bin/bash

echo "hi"

$ chmod +x cmd.bash

次のようにマウントして、スクリプトを実行してみますcmd.bash。

$ mount.cifs //server/cifsshare /path/to/cifsmnt -o user=joeuser,noexec

$ cd /path/to/cifsmnt
$ ./cmd.bash
bash: ./cmd.bash: Permission denied

そのオプションを省略すると、次のようになりますnoexec。

$ mount.cifs //server/cifsshare /path/to/cifsmnt -o user=joeuser

$ cd /path/to/cifsmnt
$ ./cmd.bash
hi

Windowsから

ここで私が考えられる唯一のシナリオは、Virtualbox のようなものを使用していて、Windows VM が利用できるディレクトリ内に CIFS/Samba 共有をマウントした場合です。

.exeこれをテストしたところ、このマウント設定を通じてファイルを正常に実行できました。

注記：Virtualbox の共有メカニズムを使用して\\vboxsrv、システム上のローカルホームディレクトリをマウントしました。/home/saml次に、このコマンドを実行して、CIFS/Samba 共有を内のディレクトリとしてマウントしました/home/saml。

$ mkdir /home/saml/cifsmnt
$ mount //server/cifsshare cifsmount -o user=joeuser,noexec

結論

上記の操作を行うと、exec/noexec が Windows のファイルへのアクセスを制限しないことが示されるようです。

Fstab exec noexecパラメータはSamba共有にどのように影響しますか

答え1

manページを見る

実行 / 非実行

exec/noexec はすべてを実行可能にしますか?

Windows のバイナリはどうですか?

テストしてみる

結論

関連情報