Чому потрібно монтувати розділ з nosuid, коли немає noexec?

Я використовую Fedora Core. Я повинен створити розділ / дані, де користувачі розміщують деякі дані (усі мають r + w дозволи). Отже, з метою безпеки я мушу зробити його невиконаним.

Я розумію , від безпеки Linux , що noexecі nosuidобидва повинні бути включені для / даних під час монтажу. Я розумію noexecі ввімкнув це. Однак я не nosuidввімкнув.

Будь-яка причина, чому обидва noexecі nosuidповинні бути включені для / даних? Не noexecвистачає цього просто - оскільки користувачі не зможуть запускати сценарії та інші програми, і nosuidце не має значення?

linux security partitioning

— зетри
джерело

Ви б подумали так [ nosuidце зайве], так. Чи можете ви навести будь-які посилання, які рекомендували вам увімкнути, nosuidхоча noexecце вже було ввімкнено?

— Селада

Насправді я це бачив скрізь. Навіть орієнтири країн СНД заявляють, що це не інший розділ перевірки на / tmp. Інші посилання просто погуглити: techrepublic.com/blog/opensource / ...

— zethra

Я мушу здогадуватися, що вони просто в безпеці: тож якщо ви забудете встановити noexecпринаймні все-таки у вас є nosuid. Це слабкий аргумент, оскільки обидва прапори налаштовані в одному місці, тому якщо ви забудете один, ви, ймовірно, забудете і другий!

— Селада

Відповідно до сторінки man mount

noexec

Не допускайте прямого виконання будь-яких бінарних файлів у змонтованій файловій системі. (До недавнього часу можна було запустити бінарні файли в будь-якому випадку за допомогою команди на зразок /lib/ld*.so / mnt / binary. Цей трюк виходить з ладу з Linux 2.4.25 / 2.6.0.)

Так виглядає, що це стара порада, коли noexec не зупиняв усі бінарні файли, принаймні вони не запускалися з кореневими приватними файлами.

— петехи
джерело

Якби ви запустили виконуваний файл із цим трюком, чи отримали б його встановлені дозволи?

— Бармар