[gelöst] NoExec in Homedirs

[breakthewall]

Die Einstellung bezieht sich nur auf Textdateien.

Stimmt. Habe eben nochmal nachgesehen. Dann bleibt es wohl bei noexec und dergleichen. Obwohl wo es mir gerade einfällt, müsste man doch auch über ACLs verbieten können, dass hier etwas ein Execute-Bit besitzen darf.

[NAB]

*hüstel* ... ich weiß nicht, was mit meinem KDE gerade los ist, aber unter Jessie hat er mir noch brav jeden Cryptotrojaner.exe gestartet, sobald wine installiert war - auf Single-Click. Ich vermute, Wine schert sich nicht um NoExec. Selbes Problem wie "$ bash ~/cryptotrojaner.sh".

ELF Binaries startet er mir auch, wenn ich ihm sage, dass er sie z.B. mit dbus-launch öffnen soll.

[Lohengrin]

Wenn ich find ~ -perm /u=x -type f mache, finde ich neben von mir erstellen Dateien noch libgmpopenh264.so beim Firefox.
Hat Firefox, wenn home mit noexec gemountet ist, dann ein Problem beim Anzeigen von Videos?

[smutbert]

@smutbert & breakthewall

Ihr sprecht aber jetzt vom normalen Verhalten des Filemanagers...?.... ohne Berücksichtigung des Umstands, das ich das Verzeichnis mit noexec gemountet habe? Nach meinem Verständnis sollte damit (egal welcher) kein einziger FM (egal mit welcher Einstellung) ein Binary mit simplem Doppelklick starten dürfen. Oder ist das doch noch wieder anders, je nach FM?

Ja, aber wie du siehst kann man sich darauf nicht verlassen.

wine schert sich nicht um noexec, vielleicht verhält sich bei java auch so und auch sonst ist es insofern ein schwacher Schutz als man vielleicht nicht sofort erkennt welche weiteren fuse- oder sonstigen Dateisysteme der Dateimanager mountet bevor er etwas macht. Ein Dateisytem-Image könnte beispielsweise mithilfe von losetup, fuseiso9660, gvfs(-fuse) oder etwas ähnlichem irgendwo ohne noexec gemountet werden (etwa irgendwo unter /run/user) und schon hilft noexec in /home nichts mehr (wobei zumindest udisks freundlicherweise wieder vieles mit noexec mountet).

für sinnlos halte ich noexec aber trotzdem nicht.
(ich nutze nur gerne ~/bin für eigene Skripte, das in Debian auch automatisch in $PATH landet, wenn es existiert, weswegen es für mich nicht in Frage kommt)

[TomL]

Ja, aber wie du siehst kann man sich darauf nicht verlassen.

Ich gebe mich da auch keinen Illusionen hin und bewerte Sinn oder Sinnlos ganz pragmatisch nur vor unserem eigenen "lokalen" Hintergrund. Es gibt bei uns kein Wine, insofern beschäftige ich mich auch nicht mit der Frage, ob Wine das respektiert oder nicht. Davon abgesehen, hätte ich sowieso gesagt, Bier ist Bier und Schnaps ist Schaps, wieso sollte Schnaps wie Bier schäumen? Was ich meine, ist, Windows ist Windows und wieso sollte sich Windows für seine eigenen Binaries um Linux-Beschränkungen kümmern...?... zumindest hätte ich das nicht erwartet. Wir selber nutzen nur noch eine W7-VM für das Buhl-Steuer-Programm, damit wird aber nicht gesurft und es ist quasi keinerlei Software installiert. Also beunruhigt mich das auch von dieser Seite nicht weiter.

Ich habe mir selber mal von einem Postfach zum anderen den mc und ein Bashscript zugesandt und dann versucht, beides nur mit Clickerei zu starten... es ist mir nicht gelungen. Genau das ist das Szenario, was mir vorschwebt.... und welches für meine anderen User ein schier unüberwindbares Hindernis darstellt.... sie können es nicht ohne Hilfe starten. Insofern denke ich schon, dass das eine durchaus sinnvolle Verbesserung darstellt, die ein ganz bestimmtes Szenario erfolgreich regelt und infolgedessen die Einflugschneise für Schadssoftware wieder ein wenig schmaler macht.

[Lohengrin]

Ich habe mir selber mal von einem Postfach zum anderen den mc und ein Bashscript zugesandt und dann versucht, beides nur mit Clickerei zu starten... es ist mir nicht gelungen.

Mit so etwas bin ich vorsichtig. Andere Leute machen Sachen, wo ich nicht drauf komme.
Ich würde jeden im Betrieb bitten, zu versuchen, so etwas zu starten oder sich etwas fieses auszudenken.
Hier im Forum zu fragen, war schon richtig. Aber leider wissen wir hier ja nicht, was bei dir im Betrieb läuft.

Insofern denke ich schon, dass das eine durchaus sinnvolle Verbesserung darstellt, die ein ganz bestimmtes Szenario erfolgreich regelt und infolgedessen die Einflugschneise für Schadssoftware wieder ein wenig schmaler macht.

Gibt es etwas, was durch deine Maßnahme jetzt nicht mehr funktioniert? Hat schon jemand gemeckert? Würde jemand meckern?