การติดตั้ง / tmp noexec มีประโยชน์อย่างไร?
หลายคน (รวมถึงคู่มือรักษาความปลอดภัยเดเบียน ) แนะนำให้ติดตั้ง/tmpกับnoexec,nodev,nosuidชุดตัวเลือก โดยทั่วไปแล้วจะแสดงเป็นองค์ประกอบหนึ่งของกลยุทธ์ 'การป้องกันเชิงลึก' โดยการป้องกันการเพิ่มของการโจมตีที่ให้ใครบางคนเขียนไฟล์หรือการโจมตีโดยผู้ใช้ที่มีบัญชีถูกต้องตามกฎหมาย แต่ไม่มีพื้นที่การเขียนอื่น ๆ เมื่อเวลาผ่านไปฉันได้พบข้อโต้แย้ง (ส่วนใหญ่เด่นโดย Debian / Ubuntu Developer Colin Watson) ซึ่งnoexecเป็นวิธีที่ไร้ประโยชน์ด้วยเหตุผลที่เป็นไปได้: ผู้ใช้สามารถเรียกใช้/lib/ld-linux.so <binary>ในความพยายามที่จะได้รับผลกระทบที่เหมือนกัน ผู้ใช้ยังคงสามารถเรียกใช้ล่ามที่ระบบจัดให้กับสคริปต์ที่ไม่สามารถเรียกใช้โดยตรง เมื่อพิจารณาถึงข้อโต้แย้งเหล่านี้ความต้องการที่อาจเกิดขึ้นสำหรับการกำหนดค่าเพิ่มเติม (เช่นdebconfไลค์ไดเรคทอรีชั่วคราวที่ใช้งานได้) และการสูญเสียความสะดวกสบายที่อาจเกิดขึ้นนี่เป็นมาตรการรักษาความปลอดภัยที่คุ้มค่าใช่หรือไม่ คุณรูอะไรอีกที่รู้ว่าสามารถหลบเลี่ยงได้?