noexec / nosuidインストールで特定のバイナリとスクリプトをホワイトリストに追加しますか？

Question

いいえ。インストールオプションはすべてを上書きします。それが彼らの目的です。そのファイルシステムで直接何も実行しないようにすることです。

この問題を解決するには、noexec実行プログラムを呼び出してほとんどのプログラムを間接的に実行できます。

プログラムがスクリプトの場合（次に終了）シェルボーン)、インタプリタを呼び出し、スクリプトを最初の引数として渡します。
プログラムが動的にリンクされた実行可能ファイルの場合は、動的ローダー（/lib/ld-linux.so.2または/lib64/ld-linux-x86-64.so.2）を呼び出し、バイナリファイルを最初の引数として渡します。

ファイルシステムがマウントされている場合は、noexec次のコマンドを使用してすべてのファイルが実行可能なディレクトリを表示できます。ファイルシステムバインディング。ただし、Bindfsは各ファイルの権限設定を許可しません。

もちろん、ファイルを他の場所にコピーして実行可能にすることもできます。

ファイルシステムがマウントされている場合、nosuidファイルをsetuidにすることはできません。これによりセキュリティが損なわれる可能性があります。 setuidファイルを作成するには、所有ユーザーアカウントへのアクセス権が必要です。コピーとsetuidを作成するか、nosuidオプションなしで再インストールすることが唯一の解決策です。

Answer 1

いいえ。インストールオプションはすべてを上書きします。それが彼らの目的です。そのファイルシステムで直接何も実行しないようにすることです。

この問題を解決するには、noexec実行プログラムを呼び出してほとんどのプログラムを間接的に実行できます。

プログラムがスクリプトの場合（次に終了）シェルボーン)、インタプリタを呼び出し、スクリプトを最初の引数として渡します。
プログラムが動的にリンクされた実行可能ファイルの場合は、動的ローダー（/lib/ld-linux.so.2または/lib64/ld-linux-x86-64.so.2）を呼び出し、バイナリファイルを最初の引数として渡します。

ファイルシステムがマウントされている場合は、noexec次のコマンドを使用してすべてのファイルが実行可能なディレクトリを表示できます。ファイルシステムバインディング。ただし、Bindfsは各ファイルの権限設定を許可しません。

もちろん、ファイルを他の場所にコピーして実行可能にすることもできます。

ファイルシステムがマウントされている場合、nosuidファイルをsetuidにすることはできません。これによりセキュリティが損なわれる可能性があります。 setuidファイルを作成するには、所有ユーザーアカウントへのアクセス権が必要です。コピーとsetuidを作成するか、nosuidオプションなしで再インストールすることが唯一の解決策です。

noexec / nosuidインストールで特定のバイナリとスクリプトをホワイトリストに追加しますか？

ベストアンサー1

おすすめ記事