我正在使用 Fedora Core。我要建立一個分區 /data,使用者在其中發布一些資料(都具有 r+w 權限)。因此,出於安全目的,我必須使其不可執行。
我從 Linux 安全性了解到,noexec在nosuid掛載期間必須為 /data 啟用 和 。我了解noexec並已啟用它。不過我沒有nosuid啟用。
為什麼應該為 /data 啟用noexec和?nosuid僅僅這樣還不夠嗎noexec——因為用戶將無法運行腳本和其他程序,而且nosuid這並不重要?
答案1
根據mount手冊頁
不執行
不允許在已安裝的檔案系統上直接執行任何二進位檔案。 (直到最近,還可以使用 /lib/ld*.so /mnt/binary 等指令來執行二進位檔案。自 Linux 2.4.25 / 2.6.0 以來,這個技巧就失敗了。)
所以,這看起來像是從什麼時候開始的舊建議,noexec沒有阻止所有二進位檔案的運作;至少它們沒有以 root 權限運行。