Fedora Coreを使用しています。ユーザーがデータを投稿するパーティション/ dataを作成します(すべてにr + w権限があります)。したがって、セキュリティの目的で、実行不可能にする必要があります。
私は、Linuxのセキュリティから理解noexecし、nosuid両方が実装時のために/データ有効にする必要があります。理解noexecして有効にしました。ただし、nosuid有効にしていません。
/ dataで両方noexecをnosuid有効にする必要がある理由は何ですか?ちょうど持っていないnoexecユーザーがスクリプトや他のプログラムを実行することはできないため、及び-十分でnosuidは重要ではありませんか?
実際、私はそれをどこでも見ました。CISベンチマークでさえ、nosuidは/ tmpパーティションの別のチェックであると述べています。他の参照はグーグルによるものです:techrepublic.com/blog/opensource/…– zethra
—
1
私はそれらが安全であることを推測する必要があります:したがって
—
セラダ
noexec、少なくとも設定することを忘れた場合、まだ持っていnosuidます。ただし、両方のフラグが同じ場所に設定されているため、弱い引数です。一方を忘れると、もう一方も忘れてしまう可能性があります。
nosuid(冗長です)。既に有効になっnosuidている場合でも、有効にする必要があることを推奨する参考文献を引用できますnoexecか?