Perché è necessario montare una partizione con nosuid quando è presente noexec?

Sto usando Fedora Core. Devo creare una partizione / dati in cui gli utenti pubblicano alcuni dati (tutti hanno permessi r + w). Quindi, per motivi di sicurezza, devo renderlo non eseguibile.

Capisco dalla sicurezza di Linux che noexece nosuidentrambi devono essere abilitati per / dati durante il montaggio. Capisco noexece l'ho abilitato. Tuttavia non ho nosuidabilitato.

Qual è il motivo per cui entrambi noexece nosuiddovrebbero essere abilitati per / data? Non è noexecsufficiente, poiché gli utenti non sarebbero in grado di eseguire script e altri programmi e nosuidnon importa?

linux security partitioning

— zethra
fonte

Penseresti così [che nosuidè ridondante], sì. Puoi citare qualche riferimento che ti raccomandasse di abilitare nosuidanche se noexecera già abilitato?

— Celada,

In realtà l'ho visto ovunque. Anche i benchmark CIS affermano che nosuid è una diversa partizione check on / tmp. Altri riferimenti sono solo su Google

— zethra

Devo indovinare che sono solo sicuri: quindi se ti dimentichi di impostare noexecalmeno hai ancora nosuid. È un argomento debole, poiché entrambe le bandiere sono configurate nello stesso posto, quindi se ne dimentichi una, probabilmente dimenticherai anche l'altra!

— Celada,

Secondo la pagina man di mount

noexec

Non consentire l'esecuzione diretta di alcun file binario sul filesystem montato. (Fino a poco tempo fa era possibile eseguire i binari usando un comando come /lib/ld*.so / mnt / binary. Questo trucco fallisce da Linux 2.4.25 / 2.6.0.)

Quindi sembra che sia un vecchio consiglio da quando noexec non ha impedito l'esecuzione di tutti i binari, almeno non erano eseguiti con i privilegi di root.

— peteches
fonte

Se avessi eseguito l'eseguibile con quel trucco, avrebbe ottenuto le autorizzazioni set-uid?

— Barmar,