¿Por qué la necesidad de montar una partición con nosuid cuando noexec está presente?

10

Estoy usando Fedora Core. Debo crear una partición / datos donde los usuarios publiquen algunos datos (todos tienen permisos r + w). Por lo tanto, por razones de seguridad, tengo que hacerlo no ejecutable.

Entiendo por la seguridad de Linux eso noexecy nosuidambos deben estar habilitados para / data durante el montaje. Entiendo noexecy lo tengo habilitado. Sin embargo no lo he nosuidhabilitado.

Cualquier razón por la cual tanto noexecy nosuiddebe ser habilitado / datos? ¿No noexecbasta con que los usuarios no puedan ejecutar scripts y otros programas, y nosuidno importa?

linux security partitioning Zethra
fuente
Pensarías que sí [eso nosuides redundante], sí. ¿Puedes citar alguna referencia que recomiende que necesites habilitar nosuidaunque noexecya esté habilitada?
Celada
En realidad lo he visto en todas partes. Incluso los puntos de referencia CIS dicen que nosuid es una comprobación diferente en la partición / tmp. Otras referencias son solo buscando
zethra
1
Tengo que adivinar que solo están siendo seguros: así que si olvidas configurar noexecal menos, aún tienes nosuid. Sin embargo, es un argumento débil ya que ambas banderas están configuradas en el mismo lugar, por lo que si olvida una, es probable que también olvide la otra.
Celada

Respuestas:

2

Según la página de manual de mount

noexec

No permita la ejecución directa de ningún binario en el sistema de archivos montado. (Hasta hace poco, era posible ejecutar binarios de todos modos utilizando un comando como /lib/ld*.so / mnt / binary. Este truco falla desde Linux 2.4.25 / 2.6.0.)

Así que esto parece un viejo consejo de cuando noexec no detuvo la ejecución de todos los archivos binarios, al menos no se ejecutaron con privs raíz.

peteches
fuente
1
Si ejecutó el ejecutable con ese truco, ¿habría obtenido permisos set-uid?
Barmar