Я использую Fedora Core. Мне нужно создать раздел /data, где пользователи будут размещать некоторые данные (все имеют права r+w). Поэтому в целях безопасности мне нужно сделать его неисполняемым.
Я понимаю из безопасности Linux, что noexecи nosuidдолжны быть оба включены для /data во время монтирования. Я понимаю noexecи включил его. Однако я не включил nosuid.
Есть ли причина, по которой и noexecи nosuidдолжны быть включены для /data? Разве недостаточно иметь просто noexec- поскольку пользователи не смогут запускать скрипты и другие программы, и nosuidэто не имеет значения?
решение1
Согласно mountстранице руководства
noexec
Не разрешайте прямое выполнение любых двоичных файлов на смонтированной файловой системе. (До недавнего времени можно было запускать двоичные файлы в любом случае с помощью команды типа /lib/ld*.so /mnt/binary. Этот трюк не работает, начиная с Linux 2.4.25 / 2.6.0.)
Похоже, это старый совет, который еще noexecне останавливал запуск всех двоичных файлов; по крайней мере, они не запускались с привилегиями root.