noexec / nosuidインストールで特定のバイナリとスクリプトをホワイトリストに追加しますか?

noexec / nosuidインストールで特定のバイナリとスクリプトをホワイトリストに追加しますか?

質問と同じです。 noexecがインストールされているFSで特定の実行可能ファイルをホワイトリストに追加できますか?

たとえば、私の外観は次のとおりです。

/dev/vg/lv on /tmp type ext4 (rw,noexec,nosuid)

答え1

いいえ。インストールオプションはすべてを上書きします。それが彼らの目的です。そのファイルシステムで直接何も実行しないようにすることです。

この問題を解決するには、noexec実行プログラムを呼び出してほとんどのプログラムを間接的に実行できます。

  • プログラムがスクリプトの場合(次に終了)シェルボーン)、インタプリタを呼び出し、スクリプトを最初の引数として渡します。
  • プログラムが動的にリンクされた実行可能ファイルの場合は、動的ローダー(/lib/ld-linux.so.2または/lib64/ld-linux-x86-64.so.2)を呼び出し、バイナリファイルを最初の引数として渡します。

ファイルシステムがマウントされている場合は、noexec次のコマンドを使用してすべてのファイルが実行可能なディレクトリを表示できます。ファイルシステムバインディング。ただし、Bindfsは各ファイルの権限設定を許可しません。

もちろん、ファイルを他の場所にコピーして実行可能にすることもできます。

ファイルシステムがマウントされている場合、nosuidファイルをsetuidにすることはできません。これによりセキュリティが損なわれる可能性があります。 setuidファイルを作成するには、所有ユーザーアカウントへのアクセス権が必要です。コピーとsetuidを作成するか、nosuidオプションなしで再インストールすることが唯一の解決策です。

関連情報