6
/ tmp noexecのマウントはどの程度便利ですか?
多くの人々(Securing Debian Manualを含む)は、オプション/tmpのnoexec,nodev,nosuidセットでマウントすることを推奨しています。これは一般に、「多層防御」戦略の1つの要素として提示されます。これは、誰かがファイルを書き込める攻撃や、正当なアカウントはあるが他の書き込み可能なスペースを持たないユーザーによる攻撃のエスカレーションを防ぐことによるものです。 しかし、時間の経過とともに、noexecいくつかの潜在的な理由から、役に立たない手段である議論(Debian / Ubuntu開発者Colin Watsonによる最も顕著な)に遭遇しました: ユーザーは/lib/ld-linux.so <binary>、同じ効果を得るために実行できます。 ユーザーは、直接実行できないスクリプトでシステム提供のインタープリターを実行できます これらの議論を考えると、より多くの構成が必要になる可能性(たとえばdebconf、実行可能な一時ディレクトリが必要)、および利便性が失われる可能性があるため、これは価値のあるセキュリティ対策ですか?迂回を可能にする他の穴を知っていますか?