Ich verwende Fedora Core. Ich muss eine Partition /data erstellen, in der Benutzer einige Daten posten (alle haben Lese- und Schreibberechtigungen). Aus Sicherheitsgründen muss ich sie daher nicht ausführbar machen.
Ich verstehe aus der Linux-Sicherheit, dass noexecund nosuidbeide während der Einbindung für /data aktiviert sein müssen. Ich verstehe es noexecund habe es aktiviert. Allerdings habe ich es nicht nosuidaktiviert.
Gibt es einen Grund, warum sowohl noexecals auch nosuidfür /data aktiviert werden sollten? Reicht es nicht aus, einfach zu haben noexec– da die Benutzer keine Skripts und andere Programme ausführen könnten und es nosuidkeine Rolle spielt?
Antwort1
Laut mountManpage
keinexec
Erlauben Sie keine direkte Ausführung von Binärdateien auf dem gemounteten Dateisystem. (Bis vor kurzem war es trotzdem möglich, Binärdateien mit einem Befehl wie /lib/ld*.so /mnt/binary auszuführen. Dieser Trick funktioniert seit Linux 2.4.25 / 2.6.0 nicht mehr.)
Es scheint sich also um einen alten Ratschlag aus der Zeit zu handeln, als noexecdie Ausführung aller Binärdateien noch nicht gestoppt wurde; zumindest wurden sie nicht mit Root-Rechten ausgeführt.