Зачем нужно монтировать раздел с помощью nosuid, когда присутствует noexec?

10

Я использую Fedora Core. Я должен создать раздел / данные, где пользователи публикуют некоторые данные (все имеют права r + w). Следовательно, в целях безопасности я должен сделать его неисполняемым.

Я понимаю , от безопасности Linux , что noexecи nosuidоба должны быть включены для / данных во время монтажа. Я понимаю, noexecи это включено. Однако я не nosuidвключил.

Любая причина, почему оба noexecи nosuidдолжны быть включены для / данных? Разве этого noexecнедостаточно, поскольку пользователи не смогут запускать скрипты и другие программы, и nosuidэто не имеет значения?

linux security partitioning zethra
источник
Вы бы так подумали [это nosuidизлишне], да. Можете ли вы привести какую-либо ссылку, в которой рекомендовано включить ее, nosuidхотя noexecона уже была включена?
Селада
На самом деле я видел это везде. Даже в тестах CIS указано, что раздел / tmp - это другая проверка. Другие ссылки просто погуглить: techrepublic.com/blog/opensource/...
zethra
1
Я должен догадаться, что они просто в безопасности: так что, если вы забудете установить, noexecпо крайней мере, у вас все еще есть nosuid. Это слабый аргумент, поскольку оба флага настроены в одном и том же месте, поэтому, если вы забудете один из них, вы, вероятно, забудете и другой!
Селада

Ответы:

2

Согласно справочной странице mount

поехес

Не разрешайте прямое выполнение любых двоичных файлов в смонтированной файловой системе. (До недавнего времени можно было запускать двоичные файлы в любом случае с помощью команды, подобной /lib/ld*.so / mnt / binary. Этот прием не удался с Linux 2.4.25 / 2.6.0.)

Похоже, это старый совет, когда noexec не останавливал работу всех двоичных файлов, по крайней мере, они не запускались с правами root.

peteches
источник
1
Если бы вы запустили исполняемый файл с помощью этого трюка, получили бы он права set-uid?
Бармар