Pourquoi la nécessité de monter une partition avec nosuid lorsque noexec est présent?


10

J'utilise Fedora Core. Je dois créer une partition / données où les utilisateurs publient des données (tous ont des autorisations r + w). Par conséquent, pour des raisons de sécurité, je dois le rendre non exécutable.

Je comprends de la sécurité Linux que noexecet nosuiddoit être activé pour / data lors du montage. Je comprends noexecet je l' ai activé. Cependant, je ne l'ai pas nosuidactivé.

Une raison pour laquelle les deux noexecet nosuiddevraient être activés pour / data? Cela ne suffit-il pas noexec- puisque les utilisateurs ne seraient pas en mesure d'exécuter des scripts et d'autres programmes, et cela nosuidn'a pas d'importance?


On pourrait le penser [c'est nosuidredondant], oui. Pouvez-vous citer une référence qui a recommandé que vous deviez activer nosuidmême si elle noexecétait déjà activée?
Celada

En fait, je l'ai vu partout. Même les benchmarks CIS indiquent que nosuid est une partition check / tmp différente. D'autres références sont juste par googling
zethra

1
Je dois deviner qu'ils sont juste en sécurité: donc si vous oubliez de régler noexecau moins vous en avez encore nosuid. C'est un argument faible car les deux drapeaux sont configurés au même endroit, donc si vous en oubliez un, vous risquez aussi d'oublier l'autre!
Celada

Réponses:


2

Selon la page de manuel de montage

noexec

N'autorisez pas l'exécution directe de fichiers binaires sur le système de fichiers monté. (Jusqu'à récemment, il était possible d'exécuter des binaires de toute façon en utilisant une commande comme /lib/ld*.so / mnt / binary. Cette astuce échoue depuis Linux 2.4.25 / 2.6.0.)

Il semble donc que ce soit un vieux conseil à partir du moment où noexec n'a pas empêché tous les binaires de s'exécuter, au moins ils n'étaient pas exécutés avec des privilèges root.


1
Si vous avez exécuté l'exécutable avec cette astuce, aurait-il obtenu les autorisations set-uid?
Barmar
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.