ทำไมต้องติดตั้งพาร์ติชันด้วย nosuid เมื่อไม่มีเน็กซ์เทค?

10

ฉันใช้ Fedora Core ฉันจะสร้างพาร์ทิชัน / ข้อมูลที่ผู้ใช้โพสต์ข้อมูลบางอย่าง (ทั้งหมดมีสิทธิ์ r + w) ดังนั้นเพื่อความปลอดภัยฉันต้องทำให้มันใช้งานไม่ได้

ฉันเข้าใจจากความปลอดภัยของ Linux ที่noexecและnosuidต้องเปิดใช้งานสำหรับ / ข้อมูลระหว่างการติดตั้ง ฉันเข้าใจnoexecและเปิดใช้งาน อย่างไรก็ตามฉันไม่ได้nosuidเปิดใช้งาน

เหตุผลใดที่ทั้งสองnoexecและnosuidควรเปิดใช้งานสำหรับ / data? ไม่noexecพอเพียง - เนื่องจากผู้ใช้จะไม่สามารถเรียกใช้สคริปต์และโปรแกรมอื่น ๆ และnosuidไม่สำคัญ?

linux  security  partitioning 
zethra
แหล่งที่มา
คุณจะคิดอย่างนั้น [นั่นnosuidซ้ำซ้อน] ใช่ คุณสามารถอ้างอิงการอ้างอิงใด ๆ ที่แนะนำว่าคุณจำเป็นต้องเปิดใช้งานnosuidแม้ว่าจะnoexecเปิดใช้งานแล้วหรือไม่
Celada
ที่จริงฉันเห็นทุกที่ แม้แต่มาตรฐาน CIS ก็ระบุว่า nosuid เป็นการตรวจสอบพาร์ติชั่น / tmp อื่น การอ้างอิงอื่น ๆ เป็นเพียงโดย googling: techrepublic.com/blog/opensource/…
zethra
1
ฉันมีที่จะคาดเดาว่าพวกเขากำลังเพียงแค่ความปลอดภัยดังนั้นหากคุณลืมที่จะตั้งอย่างน้อยคุณได้ยังnoexec nosuidมันเป็นข้อโต้แย้งที่อ่อนแอเนื่องจากมีการกำหนดค่าธงทั้งสองไว้ในที่เดียวกันดังนั้นหากคุณลืมสิ่งหนึ่งคุณก็น่าจะลืมอีกคนหนึ่งเช่นกัน
Celada

คำตอบ:

2

ตามหน้า man mount

noexec

ไม่อนุญาตให้เรียกใช้งานไบนารีโดยตรงบนระบบไฟล์ที่เมาท์ (จนกระทั่งเมื่อไม่นานมานี้มีความเป็นไปได้ที่จะรันไบนารีโดยใช้คำสั่งเช่น /lib/ld*.so / mnt / binary เคล็ดลับนี้ล้มเหลวตั้งแต่ Linux 2.4.25 / 2.6.0)

ดังนั้นนี่จึงเป็นคำแนะนำที่เก่ามากเมื่อ noexec ไม่ได้หยุดไบนารีทั้งหมดจากการทำงานอย่างน้อยพวกเขาก็ไม่ได้ทำงานกับ privs รูท

peteches
แหล่งที่มา
1
หากคุณรันไฟล์เรียกใช้งานด้วยกลอุบายนั้นมันจะได้รับสิทธิ์ set-uid หรือไม่?
Barmar
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.