Mengapa perlu me-mount partisi dengan nosuid ketika noexec hadir?

10

Saya menggunakan Fedora Core. Saya membuat partisi / data di mana pengguna memposting beberapa data (semua memiliki izin r + w). Karenanya, untuk tujuan keamanan, saya harus membuatnya tidak dapat dieksekusi.

Saya mengerti dari keamanan Linux bahwa noexecdan nosuidkeduanya harus diaktifkan untuk / data selama pemasangan. Saya mengerti noexecdan mengaktifkannya. Namun saya belum nosuidmengaktifkannya.

Ada alasan mengapa keduanya noexecdan nosuidharus diaktifkan untuk / data? Tidak hanya noexeccukup - karena pengguna tidak dapat menjalankan skrip dan program lain, dan nosuidtidak masalah?

linux security partitioning zethra
sumber
Anda akan berpikir begitu [itu nosuidberlebihan], ya. Bisakah Anda mengutip referensi yang menyarankan Anda perlu mengaktifkan nosuidmeskipun noexecsudah diaktifkan?
Celada
Sebenarnya saya pernah melihat itu di mana-mana. Bahkan tolok ukur CIS menyatakan nosuid sebagai pemeriksaan yang berbeda pada partisi / tmp. Referensi lain hanya dengan googling: techrepublic.com/blog/opensource/…
zethra
1
Saya harus menebak bahwa mereka hanya aman: jadi jika Anda lupa untuk mengatur noexecsetidaknya Anda masih punya nosuid. Ini argumen yang lemah karena kedua flag dikonfigurasikan di tempat yang sama, jadi jika Anda lupa satu, Anda kemungkinan akan melupakan yang lainnya juga!
Celada

Jawaban:

2

Menurut halaman manual mount

noexec

Jangan izinkan eksekusi langsung binari apa pun pada sistem file yang dipasang. (Sampai saat ini masih dimungkinkan untuk menjalankan binari menggunakan perintah seperti /lib/ld*.so / mnt / binary. Trik ini gagal sejak Linux 2.4.25 / 2.6.0.)

Jadi sepertinya ini adalah saran lama ketika noexec tidak menghentikan semua binari dari menjalankan, setidaknya mereka tidak dijalankan dengan root privs.

peteches
sumber
1
Jika Anda menjalankan executable dengan trik itu, akankah ia mendapat izin set-uid?
Barmar