许多人(包括Securing Debian Manual)建议/tmp使用一noexec,nodev,nosuid组选项进行安装。这通常表现为“深度防御”策略的一个要素,通过防止让某人写入文件的攻击升级,或防止具有合法帐户但没有其他可写空间的用户的攻击升级。
然而,随着时间的推移,我遇到noexec了一些毫无用处的论点(最突出的是由 Debian/Ubuntu 开发人员 Colin Watson 提出的),原因有以下几个:
/lib/ld-linux.so <binary>尝试运行以获得相同的效果。鉴于这些论点,对更多配置的潜在需求(例如,debconf像一个可执行的临时目录)以及潜在的便利性损失,这是一项值得的安全措施吗?您还知道哪些其他漏洞可以实现规避?
Windows 上是否有等效的文件系统选项,例如 Linux 上的“noexec”挂载选项?如果我设置了“读取”权限,但在根目录(整个驱动器)上取消设置“读取和执行”权限,是否相同?对于本地用户,也适用于访问 Windows Server 机器上共享目录的 LAN 用户。
我想知道我是否可以禁用从数据驱动器/分区运行程序的任何种类或可能性,包括无法创建它自己的子目录并对其设置执行权限。因此用户必须能够读写,但不能执行任何程序,包括 BAT。当然,这与恶意软件的安全性有关。有可能吗?