为什么当存在 noexec 时需要使用 nosuid 挂载分区?

为什么当存在 noexec 时需要使用 nosuid 挂载分区?

我正在使用 Fedora Core。我要创建一个分区 /data,用户可在此发布一些数据(所有用户都具有 r+w 权限)。因此,出于安全考虑,我必须将其设为不可执行。

我从 Linux 安全性中了解到,在安装期间必须同时为 /data 启用noexec和。我了解并已启用它。但是我没有启用。nosuidnoexecnosuid

有什么理由要为 /data 启用和?启用还不够吗noexec-因为用户无法运行脚本和其他程序,而和则无关紧要?nosuidnoexecnosuid

答案1

根据mount手册页

禁止执行

不允许在已挂载的文件系统上直接执行任何二进制文件。(直到最近,仍然可以使用 /lib/ld*.so /mnt/binary 之类的命令来运行二进制文件。此技巧自 Linux 2.4.25 / 2.6.0 起失效。)

因此,这看起来像是来自noexec没有停止所有二进制文件运行的旧建议;至少它们不是以 root 权限运行的。

相关内容