tmp с noexec

[alixey]

С давних времен привык монтировать /tmp с флагом noexec.
Когда-то давно прочитал такую рекомендацию для безопасности, она показалась мне разумной.
Но периодически случаются проблемы с инсталляционными скриптами, которые генерируются в tmp и не могут запуститься.
Можно ли это как-то обойти - временно разрешить запуск, не разрешая глобально на уровне раздела?
Или лучше убрать флаг noexec?

[Dzhoser]

На время инсталляции соответственно нужно перемонтировать без флага noexec. В этом и заключается безопасность, чтобы без вашего ведома ничего не установилось.

[qpdb]

Приветствую!

От всего не убережёшься😞…

А набор команд такой:

Код: [Выделить]

mount -o remount,exec /tmp
mount -o remount,noexec /tmp
mount|grep noexec
findmnt -l|grep noexec

2021 Oct 28; 11:19 AM

[alixey]

Перемонтирование не совсем то, я думал, что это можно сделать на уровне прав или атрибутов.
Я просто отдельные подкаталоги переношу в /var/tmp_exec, а затем создаю на них в /tmp симлинк.
Но перемонтирование с опцией noexec наверное будет удобнее.

[Dzhoser]

Параметр «NOEXEC»  не разрешает выполнение исполняемых двоичных файлов в смонтированной файловой системе, если что.

[Peter_I]

Dzhoser, да, по "man mount" это так, но я замечал, что в этом случае и скрипты на bash не запускаются.

[Dzhoser]

Если в скрипте вызывается бинарник или распаковка архива, то да. В остальных случаях у меня работают.

[alixey]

Нет.
Не запускается ничего, ни бинарник, ни скрипт, если на соответствующих файлах стоит атрибут x.
Но скрипты можно запустить, передав их в интерпретатор: sh script.sh или php script.php (даже если этот скрипт без атрибута x, или находится на томе с опцией noexec).

[Dzhoser]

alixey, вы сами себе противоречите и привели условия при которых скрипты выполняются. Бинарники да блокируются. В этом и смысл ключа noexec. Если нужно обсуждение welcome https://forum.ubuntu.ru/index.php?topic=228795.0;all

[AnrDaemon]

Dzhoser, да, по "man mount" это так, но я замечал, что в этом случае и скрипты на bash не запускаются.

Параметр «NOEXEC»  не разрешает выполнение исполняемых двоичных файлов в смонтированной файловой системе, если что.

Параметр noexec не разрешает прямое выполнение кода.
Если ты сделаешь

Код: [Выделить]

sh -c /путь/к/файлу, он будет выполнен.

[Dzhoser]

AnrDaemon, можно ссылку на официальную документацию где указано что  "Параметр noexec не разрешает прямое выполнение кода". В man mount указано только
 

noexec Do  not  permit  direct execution of any binaries on the mounted filesystem.

noexec Не разрешает прямое выполнение любых двоичных файлов в смонтированной файловой системе.

Скрипт не является двоичным файлом и выполняется интерпритатором bash или другим.

[Domitory]

Скрипт не является двоичным файлом и выполняется интерпритатором bash или другим

Скрипт может быть исполняемым файлом как и любой другой файл. Система проверяет является ли файл исполняемым и если при монтировании  диска был задан параметр noexec то в исполнении файла будет отказано, но если в начале скрипта задана строка вызова #! то система понимает что это скрипт и даёт выполнять его. Как то так вроде. И еще зависит от интерпретатора командной строки.

[ALiEN]

Dzhoser, Domitory, А проверить, прежде чем заявлять утверждения?

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

$: fallocate -l 1G ~/test.noexec                                     
$: mkfs.ext4 ~/test.noexec
...
Writing superblocks and filesystem accounting information: done

$: sudo mount ~/test.noexec /mnt -o noexec
$: echo -e '#!/bin/bash\necho "noexec partition"' | sudo tee /mnt/script
#!/bin/bash
echo "noexec partition"

$: sudo chmod +x /mnt/script

$: /mnt/script
zsh: Отказано в доступе: /mnt/script

$: sh /mnt/script
noexec partition

[Domitory]

прежде чем заявлять утверждения

Точно. Не дает исполнять если смонтировано с noexec. Только если явно указывать выполнение скрипта. Что в принципе логично. Что то я попутал.

[ALiEN]

Dzhoser,

Код: [Выделить]

$: cd /mnt             
$: ls -l                     
итого 20
drwx------ 2 root root 16384 ноя  1 09:55 lost+found
-rwxr-xr-x 1 root root    36 ноя  1 09:57 script
$: ./script
zsh: Отказано в доступе: ./script
$: