使用 noexec 挂载绑定分区

使用 noexec 挂载绑定分区

我就“noexec”挂载选项进行了长时间的讨论这里

不幸的是,这一切似乎都毫无意义。问题是我试图将“noexec”选项添加到“bind”挂载点。类似这样的事情:

/bin/tmp   /tmp   none   defaults,bind,noexec 0 0

像上面的代码中添加“noexec”选项并不能阻止某人执行例如的操作cd /temp && cp /bin/cp ./ && cp

所以现在的问题是 - 是否可以让“noexec”像这样工作,或者做其他事情以允许人们从(如上例所示)/tmp 运行程序?

谢谢。

答案1

为了防止人们从 /tmp 运行程序,你需要使用类似装甲或更常见的是SELinux。根据您的用户访问权限(即他们使用的应用程序),您可能会发现将它们转储到 chroot jail 中更容易,或者,如果是 PHP,则修改 php.ini 以防止从特定位置执行文件和调用 shell。

相关内容