Зачем нужно монтировать раздел с помощью nosuid, когда присутствует noexec?

Question

Я использую Fedora Core. Я должен создать раздел / данные, где пользователи публикуют некоторые данные (все имеют права r+w). Следовательно, в целях безопасности я должен сделать его неисполняемым.

Из безопасности Linux я понимаю, что noexec и nosuid должны быть включены для /data во время монтирования. Я понимаю noexec и он включен. Однако у меня не включен nosuid .

Любая причина, почему noexec и nosuid должны быть включены для /data? Разве не достаточно просто noexec - поскольку пользователи не смогут запускать скрипты и другие программы, а nosuid не имеет значения?

Answer 1

Согласно справочной странице mount

поехес

Не разрешайте прямое выполнение любых двоичных файлов в смонтированной файловой системе. (До недавнего времени можно было запускать двоичные файлы в любом случае с помощью команды, подобной /lib/ld*.so /mnt /binary. Этот трюк не работает начиная с Linux 2.4.25 / 2.6.0.)

Похоже, это старый совет, когда noexec не останавливал работу всех двоичных файлов, по крайней мере, они не запускались с правами root.