许多人(包括Securing Debian Manual)建议/tmp使用一noexec,nodev,nosuid组选项进行安装。这通常表现为“纵深防御”策略的一个元素,通过防止允许某人写入文件的攻击升级,或具有合法帐户但没有其他可写空间的用户的攻击升级。
然而,随着时间的推移,我遇到noexec了一些毫无用处的争论(最突出的是 Debian/Ubuntu 开发人员 Colin Watson),原因有几个:
/lib/ld-linux.so <binary>尝试运行以获得相同的效果。鉴于这些论点,可能需要更多配置(例如debconf,像可执行的临时目录),以及潜在的便利性损失,这是一个值得的安全措施吗?您还知道哪些其他漏洞可以进行规避?
我必须为一个开发项目处理一个负载很差的 AIX 系统。我发现缺少的一件事是 Linux 系统常用的实用程序,例如procps 集合中的实用程序。在 AIX 上是否有用于安装 Linux 世界常见实用程序的名称或路径的约定?
例如,watch在/usr/sbin/AIX 上的 inwatch在 Linux 系统上是找不到的。Linux 版本定期运行命令并将其最新输出保持在屏幕上。AIX 版本是一个特权审计/日志工具。我想知道我是否应该在某个地方寻找 Linux 版本,或者我是否需要为自己构建它。
我有一个实验室,里面装满了运行 Ubuntu 8.04 (Hardy Heron) 的工作站。我的前辈们制作了一些 cron 脚本来每天更新、升级和清理。我喜欢它需要零注意力的事实,但希望尽可能接近发行版支持的方法,以便未来的管理员可以轻松找到并理解它。具体来说,似乎 Ubuntu 中有基础设施可以更干净地做到这一点,所以我宁愿使用它。这意味着什么?
这个问题的灵感来自这个问题,它有一个体面但分散的答案。根据文档,底线是什么?