जब noexec मौजूद है, तो nosuid के साथ विभाजन को माउंट करने की आवश्यकता क्यों है?

मैं फेडोरा कोर का उपयोग कर रहा हूं। मुझे एक विभाजन / डेटा बनाना है जहां उपयोगकर्ता कुछ डेटा पोस्ट करते हैं (सभी में r + w अनुमतियां हैं)। इसलिए, सुरक्षा उद्देश्यों के लिए, मुझे इसे गैर-निष्पादन योग्य बनाना होगा।

मैं लिनक्स सुरक्षा से समझता हूं कि noexecऔर nosuidबढ़ते समय दोनों को / डेटा के लिए सक्षम होना चाहिए। मैं समझता हूं noexecऔर यह सक्षम है। हालाँकि मैं nosuidसक्षम नहीं हूँ ।

किसी भी कारण है कि दोनों noexecऔर nosuid/ डेटा के लिए सक्षम किया जाना चाहिए? केवल noexecपर्याप्त नहीं है - चूंकि उपयोगकर्ता स्क्रिप्ट और अन्य प्रोग्राम चलाने में सक्षम नहीं होंगे, और nosuidइससे कोई फर्क नहीं पड़ता?

linux security partitioning

— zethra
स्रोत

आप ऐसा सोचते होंगे [कि nosuidबेमानी है], हाँ। क्या आप किसी ऐसे संदर्भ का हवाला दे सकते हैं, जिसकी अनुशंसा आपको पहले से सक्षम nosuidहोने के बावजूद सक्षम करने की आवश्यकता noexecथी?

— सेलडा

वास्तव में मैंने वह सब जगह देखा है। यहां तक कि CIS बेंचमार्क स्टेट्स / tmp पार्टीशन पर एक अलग चेक होना चाहिए। : अन्य संदर्भ बस द्वारा googling हैं techrepublic.com/blog/opensource/...

— zethra

मुझे यह अनुमान लगाना होगा कि वे सिर्फ सुरक्षित हैं: इसलिए यदि आप noexecकम से कम सेट करना भूल गए हैं तो भी आप मिल गए हैं nosuid। हालांकि यह एक कमजोर तर्क है क्योंकि दोनों झंडे एक ही स्थान पर कॉन्फ़िगर किए गए हैं, इसलिए यदि आप एक को भूल जाते हैं तो आप दूसरे को भी भूल सकते हैं!

— सेलदा

माउंट मैन पेज के अनुसार

noexec

घुड़सवार फाइल सिस्टम पर किसी भी बायनेरिज़ के प्रत्यक्ष निष्पादन की अनुमति न दें। (जब तक हाल ही में /lib/ld*.so / mnt / बाइनरी जैसी कमांड का उपयोग करके बायनेरिज़ को चलाना संभव था। लिनक्स 2.4.25 / 2.6.0 के बाद से यह चाल विफल रहती है।)

तो ऐसा लग रहा है कि यह पुरानी सलाह है जब noexec ने सभी बायनेरिज़ को चलने से नहीं रोका था, कम से कम वे रूट प्राइवेट के साथ नहीं चलाए गए थे।

— peteches
स्रोत

यदि आप उस चाल के साथ निष्पादन योग्य चलाते हैं, तो क्या इससे सेट-यूआईडी की अनुमति मिल जाएगी?

— बमर