Зачем некоторые монтируют /home с noexec?

[awua]

Ведь у нас есть umask, который можно прописать так, чтобы executable flag не устанавливался.
И как партиция с возможностью выполнения файлов поможет взломщику? Если взломщик смог записать в /home скрипт и запустить его, то, наверное, он уже получил доступ к файловой системе не уровне пользователя и пролезть по файлам сможет без выполнения скриптов...

[infra_hdc]

Вообще-то да. Не дело это. Вот, например, пользователь хочет самописные проги или тарболы своекомпилированные позапускать? На некоторых хостах для разработки у пользователей в переменной окружения $PATH есть секция :~/bin специально для хеловордов этого дела. Присоединяюсь к возмущениям.

[Bizdelnick]

И как партиция с возможностью выполнения файлов поможет взломщику?

Ну как же! Вместо sh ~/.evil ему можно будет набрать просто ~/.evil.

[infra_hdc]

И как партиция с возможностью выполнения файлов поможет взломщику?

Ну как же! Вместо sh ~/.evil ему можно будет набрать просто ~/.evil.

Если файл не очень зубастый то да; более частный случай упрётся в невозможность [некоторых] шеллов запускать бинарники своими силами:

Код: Выделить всё

askinfra@infra:~$ ~/.evil
bash: /home/askinfra/.evil: Отказано в доступе
askinfra@infra:~$ sh ~/.evil
/home/askinfra/.evil: 1: �: not found
/home/askinfra/.evil: 1: �: not found
/home/askinfra/.evil: 1: ELF: not found
/home/askinfra/.evil: 1: Syntax error: word unexpected (expecting ")")
askinfra@infra:~$ file ~/.evil
/home/askinfra/.evil: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.18, stripped

[alv]

Присоединяюсь к возмущениям.

А чего возмущаться? Ваш /home, своя рука - владыка: не ставьте noexec и всё.

[Ленивая Бестолочь]

существуют, например, некоторые ботнеты, которые запускаются из-под пользователя, из его хоума.
поскольку заражение обычно происходит в автоматическом режиме, то таким образом очень вероятно можно его сорвать.
ну, понятно, что это скорее из серии "бережёного бог бережёт".

[drBatty]

Зачем некоторые монтируют /home с noexec?

что-бы злоумышленник не мог запускать эксплоиты. Эксплоиты НЕ являются скриптами.

Ведь у нас есть umask, который можно прописать так, чтобы executable flag не устанавливался.

umask есть не у нас, а У ЮЗЕРА. Юзер может его менять как ему угодно. А вот noexec он менять не может.

И как партиция с возможностью выполнения файлов поможет взломщику?

можно запустить эксплоит.

Если взломщик смог записать в /home скрипт и запустить его

поймите, что скрипт - это простой текстовый файл. Для его запуска необходимо и достаточно:
1. права чтения скрипта, которое у взломщика очевидно есть (если это ЕГО скрипт)
2. право выполнения интерпретатора данного скрипта, которое тоже у него очевидно есть (если он зашёл в bash, очевидно он может выполнять bash)

то, наверное, он уже получил доступ к файловой системе не уровне пользователя и пролезть по файлам сможет без выполнения скриптов...

лазать он может исключительно там, куда его пустит root и другие юзеры. Например, юзер А может сделать(и сделает, если не дебил) права на ~/.ssh 0700, и ВСЕ остальные юзеры НЕ смогут зайти в этот каталог. Однако, юзер Б может запустить эксплоит, получить права рута, и таки зайти куда угодно.

Вообще-то да. Не дело это. Вот, например, пользователь хочет самописные проги или тарболы своекомпилированные позапускать?

таких юзеров ОЧЕНЬ мало. А быдлопэхапэ или этот ваш питон работаеют и с noexec.

Ну как же! Вместо sh ~/.evil ему можно будет набрать просто ~/.evil.

разве noexec действует на скрипты? вы таки не путаете с -x?

[eddy]

таких юзеров ОЧЕНЬ мало

У нас таких хватает: то самописный "скриптик" на сях, то еще что-нибудь. Не давать же пользователю права рута для установки его поделок в системе (хотя, сам на своих компьютерах после make'а своих велосипедах делаю и su -c "make install")?
А еще наболевшее - CGI., их с noexec'ом не запустишь.

[awua]

что-бы злоумышленник не мог запускать эксплоиты.

Эксплойты из cache'а браузера?

Эксплоиты НЕ являются скриптами.

Бинарники?

umask есть не у нас, а У ЮЗЕРА. Юзер может его менять как ему угодно. А вот noexec он менять не может.

А если user - это я? Это меняет дело?

[drBatty]

У нас таких хватает: то самописный "скриптик" на сях, то еще что-нибудь.

ваше право, ваше дело.

Эксплойты из cache'а браузера?

вы про что ваще?

Бинарники?

тринарники

А если user - это я? Это меняет дело?

вы это у меня спрашиваете? мы про чей компьютер говорим?

[awua]

вы про что ваще?

Вы сказали, что noexec на home предотвращает запуск эксплойтов. Но что такое эксплойт? И откуда он выполняется? Это бинарник, который попадает в cache браузера вместе со страницей, на которой находится и которую посетитель сайта открыл? Или это будет JS-скрипт?

[drBatty]

вы про что ваще?

Вы сказали, что noexec на home предотвращает запуск эксплойтов. Но что такое эксплойт? И откуда он выполняется? Это бинарник, который попадает в cache браузера вместе со страницей, на которой находится и которую посетитель сайта открыл? Или это будет JS-скрипт?

то, что попадает в кеш браузера, НЕ выполняется, если конечно юзер ЯВНО не пожелает это выполнить.
что касается JS скрипта, то он может и выполнится, а толку-то? У него нет доступа к файловой системе, а тем более к запуску файлов с FS. Ну покажет очередное окошко, типа "ваш FireFox устарел и дырявый, поставьте СРОЧНО 16ю версию!!!!111один-один". И что?

[awua]

Тогда как noexec предотвратит выполнение эксплойтов?

[HomeCraft]

Тогда как noexec предотвратит выполнение эксплойтов?

Думаю, что это предотвратит запуск эксплоитов локальным злоумышленником, который принесет их на флешке (или скачает из сети).

[eddy]

Тогда как noexec предотвратит выполнение эксплойтов?

Думаю, что это предотвратит запуск эксплоитов локальным злоумышленником, который принесет их на флешке (или скачает из сети).

Не понимаю смысла этих действий: все равно пользователь, не имея прав рута, ничего плохого системе не сделает. А если он попытается использовать уязвимость, вероятность того, что ему повезет, очень близка к нулю. Это же вам не мастдайка!

[drBatty]

Тогда как noexec предотвратит выполнение эксплойтов?

эксплоит == ELF файл. Он НЕ запустится на разделе noexec. Если ВСЕ доступные разделы смонтированы таким образом, то злоумышленик не сможет запустить любые свои бинарники, в т.ч. и эксплоиты. Кроме $HOME доступны также /tmp, /vsr/tmp и возможно ещё какие-то.

Не понимаю смысла этих действий: все равно пользователь, не имея прав рута, ничего плохого системе не сделает. А если он попытается использовать уязвимость, вероятность того, что ему повезет, очень близка к нулю.

ну не так уж и близка...

[Bizdelnick]

эксплоит == ELF файл

Кто сказал? Почему он не может быть написан на интерпретируемом языке (если использует, скажем, уязвимость интерпретатора)?

[drBatty]

Кто сказал? Почему он не может быть написан на интерпретируемом языке (если использует, скажем, уязвимость интерпретатора)?

от такого рода эксплоитов noexec не защитит. Как и от *.exe (которые используют скажем уязвимость Windows).

Bizdelnick
кстати, чего добьётся злоумышленник используя уязвимость интерпретатора?

[awua]

А разве недавний поток новостей про уязвимость Java, позволяющая выходить за пределы её виртуализации - не демонстрация уязвимости в интерпретаторе?

[infra_hdc]

А разве недавний поток новостей про уязвимость Java, позволяющая выходить за пределы её виртуализации - не демонстрация уязвимости в интерпретаторе?

если очень постараться, то на уровне ядра можно включить выполнение жава -- также, как и обычных файлов в формате ELF или a.out

[infra_hdc]

Присоединяюсь к возмущениям.

А чего возмущаться? Ваш /home, своя рука - владыка: не ставьте noexec и всё.

Ну если админ, то да. Мне рядовых юзеров жалко, без привилегий которые.
Например, поставят где-нибудь в рунете общедоступный Эльбрус, чтобы кто хочет изучали, и логины раздадут для доступа по ssh желающим. А выполнение в хоуме дать забудут.
И будут энтузиасты лапу сосать. Хотя, конечно, согласен, случай гипотетический. Но и вопрос изначально был такого общего плана, который по идее должен охватывать по возможности все частные случаи.