Estoy usando Fedora Core. Debo crear una partición/datos donde los usuarios publican algunos datos (todos tienen permisos r+w). Por lo tanto, por motivos de seguridad, tengo que hacerlo no ejecutable.
Entiendo por seguridad de Linux que noexecambos nosuiddeben estar habilitados para /data durante el montaje. Lo entiendo noexecy lo tengo habilitado. Sin embargo no lo tengo nosuidhabilitado.
¿Alguna razón por la que ambos noexecy nosuiddeberían estar habilitados para /data? ¿No es noexecsuficiente tenerlo, ya que los usuarios no podrían ejecutar scripts ni otros programas, y nosuidno importa?
Respuesta1
Según la mountpágina de manual
no ejecutivo
No permita la ejecución directa de ningún binario en el sistema de archivos montado. (Hasta hace poco era posible ejecutar binarios de todos modos usando un comando como /lib/ld*.so /mnt/binary. Este truco falla desde Linux 2.4.25/2.6.0.)
Entonces, parece que este es un viejo consejo de cuando noexecno detuvo la ejecución de todos los binarios; al menos no se ejecutaron con privilegios de root.