Ubuntu 14.04: как мне установить разрешения для временного каталога, чтобы созданные файлы не могли быть выполнены исполняемыми? Конечно, любой пользователь может свободно создавать каталоги и файлы и удалять свои собственные.
1 ответ
1
Наиболее эффективным вариантом является монтирование /tmp dir с опцией noexec (очевидно, что /tmp dir должен находиться в отдельном разделе)
Со страницы руководства по mount
noexec Не разрешать прямое выполнение любых двоичных файлов в смонтированной файловой системе.
(До недавнего времени можно было запускать двоичные файлы в любом случае с помощью команды, подобной /lib/ld*.so /mnt /binary. Этот трюк не работает начиная с Linux 2.4.25 / 2.6.0.)
Вы можете перемонтировать раздел /tmp с помощью этой опции
# mount -o remount,noexec /tmp
Или поместите его в /etc /fstab, чтобы сделать его постоянным
UUID=[...] /tmp ext4 defaults,noexec 1 2
Чтобы быть точным, исполняемый файл может продолжать существовать в /tmp, но выполнение приведет к "отказано в разрешении"