挂载 /tmp noexec 有多大用处？

以下是我迄今为止提出的实用程序的论点：

现代内核修复了这个/lib/ld-linux.so漏洞，因此它无法从noexec文件系统映射可执行页面。

口译员的观点当然仍然是一个问题，尽管我认为比人们声称的要少。我能想到的原因是，存在许多依赖于特定格式错误的系统调用的权限提升漏洞。如果没有攻击者提供二进制文件，就很难进行恶意系统调用。此外，脚本解释器应该是无特权的（我知道这在历史上有时并非如此，例如使用 suid perl），因此需要它们自己的漏洞才能在攻击中有用。显然，至少可以使用 Python 来运行一些漏洞。

许多“固定”漏洞利用可能会尝试在 中编写和运行可执行文件/tmp，从而noexec降低陷入脚本攻击的可能性（例如在漏洞披露和补丁安装之间的窗口中）。

因此，/tmp使用noexec.

如Debian 的 bug tracker中所述，设置APT::ExtractTemplates::TempDir到rootapt.conf无法noexec访问的目录将消除 debconf 问题。

将以下内容添加到 /etc/apt.conf，或者 /etc/apt/apt.conf.d/50remount

DPkg::Pre-Install-Pkgs {"mount -o remount,exec /tmp";};
DPkg::Post-Invoke {"mount -o remount /tmp";};

许多 Debian 软件包需要 /tmp 可执行才能安装软件包。这些通常被标记为错误（“正常”/“愿望清单”严重性）：

https://www.google.com/#q=site:bugs.debian.org+noexec+/tmp

我今天在将更新的内核安装到稳定分支时收到了这个错误。

所以看起来Debian（和衍生品？）还没有准备好挂载/tmp noexec ...

尽管您可能选择实施的大多数补充安全措施都存在变通办法，但即使是最容易绕过的安全措施（例如挂载 /tmp noexec 或在备用端口上运行 SSH）也将阻止依赖于默认值的自动或脚本攻击发挥作用。它不会保护您免受坚定且知识渊博的攻击者的攻击，但在超过 99% 的情况下，您不会遇到坚定或知识渊博的攻击者。相反，您将保护自己免受自动攻击脚本的侵害。

第一： 它涵盖了许多不同的攻击案例。关闭它是因为有一些已知的方法可以解决它（其中一些甚至是固定的）是很奇怪的。攻击者将代码下载到/dev/shm或是/tmp他们经常做的事情。

纵深防御是关于保护最常见的航路点，阻止它们的每一个都会使您的系统更具生存能力。不安全。但它也会有机会。如果他们无法获取他们的辅助有效载荷，那么这是一个很好的机会。

• 它也可能被 iptables 用户限制阻止。
• 它也可能被 SELinux 停止。
• 由于易于访问的其他漏洞，它也可能无法停止。

关键是尽可能轻松地让它变得困难，并减少 99% 的攻击。

第二： 它停止了不好的做法（从 temp 运行东西，通过/tmp而不是用户 tmpdir 进行主要应用程序安装），将数据留在/tmp. 自定义安装程序通常理解 TMPDIR 另外：即使没有：安装时间，作为一个时间点操作，不是永久关闭安全问题的正当理由。

第三： 考虑到（“功能”）中的匿名命名空间/tmp，你真的想限制放在那里的东西并从那里运行。

第四： 便利性不是一个相关因素。假设我们运行服务器是为了钱，并且有一个目的：我们对这些东西负责。“哦，我没有锁定，/tmp因为明年我更新软件时还需要几分钟”。当然，在被勒索和安然无恙之间的不仅仅是这一件事。一个很好的理由？我不这么认为。

这个怎么样：

“我们了解到敌人可以在没有通知的情况下发动攻击。他们还可以使用数百名间谍在食物中下毒。所以我们停止向士兵发放枪支。”

等等，什么？

还有其他措施需要更多的努力、经验和运气来确保系统安全，并且要知道人们的金钱、寿命有限，并且还想与家人共度时光：不要跳过简单的事情。

有些应用程序需要 /tmp 可执行才能安装。在之前的工作中，在我到达那里之前，管理员已经设置了 /tmp noexec，但我发现 db2 包无法安装。即使您在其他地方解压 db2 包，安装过程也会将一些文件复制到 /tmp 并希望能够执行它，这当然会因为权限被拒绝而失败。如果您不知道文件系统已挂载为 noexec，则可能有点误导。只有在没有 noexec 的情况下重新安装 /tmp 后，它才能继续安装。

无论如何，关键是至少有一种商业产品需要 /tmp 才能不挂载 noexec，并且可能还有其他产品。我还没有找到一个真正令人信服的理由。如果您想要更好的安全性，我会改用 selinux。