mount / tmp noexec有用吗？

以下是我到目前为止所使用的实用程序的参数：

现代内核修复了/lib/ld-linux.so洞，所以它不能映射noexec文件系统的可执行页面。

口译员的观点当然也是一个问题，虽然我觉得比人们所说的要less。 我能想出的理由是，依赖于制造特定的不正常的系统调用，有许多特权升级漏洞。 如果没有攻击者提供二进制文件，那么制造恶意的系统调用就会变得困难得多。 另外，脚本解释器应该是没有特权的（我知道这在历史上有时并不是这种情况，比如用suid perl），所以需要自己的漏洞在攻击中有用。 显然，至less可以使用Python来运行一些漏洞攻击。

许多“jar装”攻击可能会尝试在/tmp编写和运行可执行文件，因此noexec可以降低发生脚本攻击的可能性（例如，在漏洞披露和补丁安装之间的窗口中）。

因此，使用noexec挂载/tmp仍然有一个安全的好处。

如Debian的bug追踪器所述 ，将APT::ExtractTemplates::TempDir设置为不是noexec并且可以被root访问的目录将避免debconf问题。

许多Debian软件包要求/ tmp可执行才能安装软件包。 这些通常被标记为错误（“正常”/“愿望清单”严重性）：

https://www.google.com/#q=site:bugs.debian.org+noexec+/tmp

刚刚在今天安装更新的内核到stable分支时，我收到了这个错误。

所以它看起来像Debian（＆衍生物？）没有准备好/ tmp挂载noexec …

将以下内容添加到/etc/apt.conf或/etc/apt/apt.conf.d/50remount中

 DPkg::Pre-Install-Pkgs {"mount -o remount,exec /tmp";}; DPkg::Post-Invoke {"mount -o remount /tmp";}; 

即使您可能select实施的大多数辅助安全措施都有解决方法，即使是最容易规避的安全措施（例如，挂载/ tmp noexec或在备用端口上运行SSH）也会阻止依赖默认设置的自动或脚本攻击起作用。 它不会保护你不受一个坚定和知识渊博的攻击者的影响，但超过99％的时间，你不会对一个坚定的或知识渊博的攻击者。 相反，你将会防御自动攻击脚本。

首先：它涵盖了许多不同的攻击事件。closures它是因为周围有一些已知的方法（其中一些甚至是固定的）是奇怪的。 攻击者将代码下载到/ dev / shm或/ tmp是他们所做的常见事情。

纵深防御就是确保最常见的航点，每个航点都会阻止它们使你的系统更加生存。 不安全。 但它也有一个机会 。 如果他们不能获得他们的辅助有效载荷，这是一个很好的机会，你越来越。

• 它也可能被iptables用户的限制所阻止。
• 它也可能被SELinux阻止。
• 由于易于访问的其他漏洞，它也可能不会被阻止。

关键是要尽可能地努力，削减99％的攻击。

第二：它阻止了不好的做法（从temp运行的东西，通过/ tmp而不是用户tmpdir进行主要的应用程序安装），将数据保留在/ tmp中。 自定义安装程序通常会理解TMPDIR另外：即使不是：安装时间作为时间点操作，不是永久closures安全问题的有效理由。

第三：考虑到/ tmp（一个“function”）中的匿名命名空间，你真的想限制放在那里的东西，并从那里运行。

第四：方便不是这方面的一个相关因素。 假设我们为了钱而运行服务器，出于某种目的：我们负责这个东西。 “哦，我没有locking/ tmp，因为明年我更新我的软件时，我还需要几分钟的时间”。 当然，这不仅仅是被勒索和罚款之间的一件事情。 一个很好的理由？ 我不这么认为。

这个怎么样：

“我们了解到，敌人可以毫无预防地发动攻击，也可以用数百个间谍来毒害食物，所以我们停止向我们的士兵发放枪支。

等等，什么？

还有其他的措施需要更多的努力，经验和运气来保证一个系统，并知道人们有限的钱，寿命，也想花时间与家人： 不要跳过容易的东西。

有一些应用程序要求/ tmp可执行才能安装。 在之前的工作中，在我到那里之前，pipe理员已经设置了/ tmp noexec，但是我发现db2软件包不会安装。 即使您将db2软件包解压到其他地方，安装程序也会将一些文件复制到/ tmp，并希望能够执行它，这当然会因拒绝权限而失败。 如果您不知道文件系统挂载noexec，可能会有点误导。 只有在重新挂载/ tmp没有noexec后才能继续安装。

无论如何，重点是至less有一个商业产品需要/ tmp不能挂载noexec，并且可能有其他的。 我还没有find一个真正令人信服的理由。 如果你想要更好的安全性，我会selectselinux。