У меня был долгий разговор о опции монтирования noexec здесь.

К сожалению, похоже, все это спорный вопрос. Проблема в том, что я пытаюсь добавить опцию "noexec" к точке монтирования "bind". Что-то вроде этого:

/bin/tmp   /tmp   none   defaults,bind,noexec 0 0

Добавление опции "noexec", как в приведенном выше коде, не мешает пользователю сделать, например, cd /temp && cp /bin/cp ./ && cp .

Теперь возникает вопрос: можно ли заставить "noexec" работать таким образом или сделать что-то еще, чтобы не позволить людям запускать программы из (как в примере выше) /tmp?

Спасибо.

1 ответ1

1

Чтобы запретить людям запускать программу из /tmp, вам нужно использовать что-то вроде Apparmor или, чаще, SELinux. В зависимости от доступа ваших пользователей (то есть того, какие приложения они используют), вам может быть проще сбросить их в тюрьму chroot или, если это PHP, изменить php.ini, чтобы предотвратить запуск файлов из определенных мест и вызов оболочки.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .