AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / server / 问题 / 72356
Accepted
Phil Miller
Phil Miller
Asked: 2009-10-08 15:43:37 +0800 CST2009-10-08 15:43:37 +0800 CST 2009-10-08 15:43:37 +0800 CST

挂载 /tmp noexec 有多大用处?

  • 772

许多人(包括Securing Debian Manual)建议/tmp使用一noexec,nodev,nosuid组选项进行安装。这通常表现为“纵深防御”策略的一个元素,通过防止允许某人写入文件的攻击升级,或具有合法帐户但没有其他可写空间的用户的攻击升级。

然而,随着时间的推移,我遇到noexec了一些毫无用处的争论(最突出的是 Debian/Ubuntu 开发人员 Colin Watson),原因有几个:

  1. 用户可以/lib/ld-linux.so <binary>尝试运行以获得相同的效果。
  2. 用户仍然可以在无法直接运行的脚本上运行系统提供的解释器

鉴于这些论点,可能需要更多配置(例如debconf,像可执行的临时目录),以及潜在的便利性损失,这是一个值得的安全措施吗?您还知道哪些其他漏洞可以进行规避?

linux
  • 6 6 个回答
  • 46349 Views

6 个回答

  • Voted
  1. Best Answer
    Phil Miller
    2009-10-08T15:46:31+08:002009-10-08T15:46:31+08:00

    以下是我迄今为止提出的实用程序的论点:

    现代内核修复了这个/lib/ld-linux.so漏洞,因此它无法从noexec文件系统映射可执行页面。

    口译员的观点当然仍然是一个问题,尽管我认为比人们声称的要少。我能想到的原因是,存在许多依赖于特定格式错误的系统调用的权限提升漏洞。如果没有攻击者提供二进制文件,就很难进行恶意系统调用。此外,脚本解释器应该是无特权的(我知道这在历史上有时并非如此,例如使用 suid perl),因此需要它们自己的漏洞才能在攻击中有用。显然,至少可以使用 Python 来运行一些漏洞。

    许多“固定”漏洞利用可能会尝试在 中编写和运行可执行文件/tmp,从而noexec降低陷入脚本攻击的可能性(例如在漏洞披露和补丁安装之间的窗口中)。

    因此,/tmp使用noexec.

    如Debian 的 bug tracker中所述,设置APT::ExtractTemplates::TempDir到rootapt.conf无法noexec访问的目录将消除 debconf 问题。

    • 36
  2. karmawhore
    2010-08-30T18:37:01+08:002010-08-30T18:37:01+08:00

    将以下内容添加到 /etc/apt.conf,或者 /etc/apt/apt.conf.d/50remount

    DPkg::Pre-Install-Pkgs {"mount -o remount,exec /tmp";};
    DPkg::Post-Invoke {"mount -o remount /tmp";};
    
    • 8
  3. thomasrutter
    2010-08-21T18:07:39+08:002010-08-21T18:07:39+08:00

    许多 Debian 软件包需要 /tmp 可执行才能安装软件包。这些通常被标记为错误(“正常”/“愿望清单”严重性):

    https://www.google.com/#q=site:bugs.debian.org+noexec+/tmp

    我今天在将更新的内核安装到稳定分支时收到了这个错误。

    所以看起来Debian(和衍生品?)还没有准备好挂载/tmp noexec ...

    • 7
  4. tylerl
    2010-08-21T19:17:14+08:002010-08-21T19:17:14+08:00

    尽管您可能选择实施的大多数补充安全措施都存在变通办法,但即使是最容易绕过的安全措施(例如挂载 /tmp noexec 或在备用端口上运行 SSH)也将阻止依赖于默认值的自动或脚本攻击发挥作用。它不会保护您免受坚定且知识渊博的攻击者的攻击,但在超过 99% 的情况下,您不会遇到坚定或知识渊博的攻击者。相反,您将保护自己免受自动攻击脚本的侵害。

    • 5
  5. Florian Heigl
    2016-11-22T02:44:02+08:002016-11-22T02:44:02+08:00

    第一: 它涵盖了许多不同的攻击案例。关闭它是因为有一些已知的方法可以解决它(其中一些甚至是固定的)是很奇怪的。攻击者将代码下载到/dev/shm或是/tmp他们经常做的事情。

    纵深防御是关于保护最常见的航路点,阻止它们的每一个都会使您的系统更具生存能力。不安全。但它也会有机会。如果他们无法获取他们的辅助有效载荷,那么这是一个很好的机会。

    • 它也可能被 iptables 用户限制阻止。
    • 它也可能被 SELinux 停止。
    • 由于易于访问的其他漏洞,它也可能无法停止。

    关键是尽可能轻松地让它变得困难,并减少 99% 的攻击。

    第二: 它停止了不好的做法(从 temp 运行东西,通过/tmp而不是用户 tmpdir 进行主要应用程序安装),将数据留在/tmp. 自定义安装程序通常理解 TMPDIR 另外:即使没有:安装时间,作为一个时间点操作,不是永久关闭安全问题的正当理由。

    第三: 考虑到(“功能”)中的匿名命名空间/tmp,你真的想限制放在那里的东西并从那里运行。

    第四: 便利性不是一个相关因素。假设我们运行服务器是为了钱,并且有一个目的:我们对这些东西负责。“哦,我没有锁定,/tmp因为明年我更新软件时还需要几分钟”。当然,在被勒索和安然无恙之间的不仅仅是这一件事。一个很好的理由?我不这么认为。

    这个怎么样:

    “我们了解到敌人可以在没有通知的情况下发动攻击。他们还可以使用数百名间谍在食物中下毒。所以我们停止向士兵发放枪支。”

    等等,什么?

    还有其他措施需要更多的努力、经验和运气来确保系统安全,并且要知道人们的金钱、寿命有限,并且还想与家人共度时光:不要跳过简单的事情。

    • 3
  6. lsd
    2015-08-26T05:13:06+08:002015-08-26T05:13:06+08:00

    有些应用程序需要 /tmp 可执行才能安装。在之前的工作中,在我到达那里之前,管理员已经设置了 /tmp noexec,但我发现 db2 包无法安装。即使您在其他地方解压 db2 包,安装过程也会将一些文件复制到 /tmp 并希望能够执行它,这当然会因为权限被拒绝而失败。如果您不知道文件系统已挂载为 noexec,则可能有点误导。只有在没有 noexec 的情况下重新安装 /tmp 后,它才能继续安装。

    无论如何,关键是至少有一种商业产品需要 /tmp 才能不挂载 noexec,并且可能还有其他产品。我还没有找到一个真正令人信服的理由。如果您想要更好的安全性,我会改用 selinux。

    • 1

相关问题

  • Linux 主机到主机迁移

  • 如何在 Linux 机器上找到有关硬件的详细信息?

  • 如何在 Linux 下监控每个进程的网络 I/O 使用情况?

  • 在 RHEL4 上修改 CUPS 中的现有打印机设置

  • 为本地网络中的名称解析添加自定义 dns 条目

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    SFTP 使用什么端口?

    • 6 个回答
  • Marko Smith

    从 IP 地址解析主机名

    • 8 个回答
  • Marko Smith

    如何按大小对 du -h 输出进行排序

    • 30 个回答
  • Marko Smith

    命令行列出 Windows Active Directory 组中的用户?

    • 9 个回答
  • Marko Smith

    Windows 中执行反向 DNS 查找的命令行实用程序是什么?

    • 14 个回答
  • Marko Smith

    如何检查 Windows 机器上的端口是否被阻塞?

    • 4 个回答
  • Marko Smith

    我应该打开哪个端口以允许远程桌面?

    • 9 个回答
  • Marko Smith

    什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同?

    • 3 个回答
  • Marko Smith

    如何确定bash变量是否为空?

    • 15 个回答
  • Martin Hope
    MikeN 在 Nginx 中,如何在维护子域的同时将所有 http 请求重写为 https? 2009-09-22 06:04:43 +0800 CST
  • Martin Hope
    Tom Feiner 如何按大小对 du -h 输出进行排序 2009-02-26 05:42:42 +0800 CST
  • Martin Hope
    0x89 bash中的双方括号和单方括号有什么区别? 2009-08-10 13:11:51 +0800 CST
  • Martin Hope
    kch 如何更改我的私钥密码? 2009-08-06 21:37:57 +0800 CST
  • Martin Hope
    Kyle Brandt IPv4 子网如何工作? 2009-08-05 06:05:31 +0800 CST
  • Martin Hope
    Noah Goodrich 什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同? 2009-05-19 18:24:42 +0800 CST
  • Martin Hope
    Brent 如何确定bash变量是否为空? 2009-05-13 09:54:48 +0800 CST
  • Martin Hope
    cletus 您如何找到在 Windows 中打开文件的进程? 2009-05-01 16:47:16 +0800 CST

热门标签

linux nginx windows networking ubuntu domain-name-system amazon-web-services active-directory apache-2.4 ssh

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve