저는 페도라 코어를 사용하고 있습니다. 사용자가 일부 데이터를 게시하는 파티션/data를 만들려고 합니다(모두 r+w 권한이 있음). 따라서 보안상의 이유로 실행 불가능하게 만들어야 합니다.
나는 Linux 보안을 통해 마운트하는 동안 /data에 대해 둘 다 활성화해야 한다는 것을 이해 noexec합니다 nosuid. 이해했으며 noexec활성화했습니다. 그러나 나는 활성화하지 않았습니다 nosuid.
noexec/data에 대해 와 를 모두 nosuid활성화해야 하는 이유가 있나요 ? noexec사용자가 스크립트와 다른 프로그램을 실행할 수 없고 nosuid중요하지 않기 때문에 충분 하지 않습니까 ?
답변1
mount매뉴얼 페이지 에 따르면
노엑섹
마운트된 파일 시스템에서 바이너리를 직접 실행하는 것을 허용하지 마세요. (최근까지 /lib/ld*.so /mnt/binary와 같은 명령을 사용하여 바이너리를 실행하는 것이 가능했습니다. 이 트릭은 Linux 2.4.25 / 2.6.0부터 실패합니다.)
noexec따라서 이것은 모든 바이너리 실행을 중단하지 않았던 시절의 오래된 조언처럼 보입니다 . 적어도 루트 권한으로 실행되지는 않았습니다.