Attention un script shell, du python / perl / php ... déposé sur une
partition en noexec il suffit de mettre l'interpréteur devant et ça se
lance.
bash ./monscript.sh ou équivalent python ./monscript.py ça marche en
noexec car l'exécution de l'interpréteur se situe dans /usr/bin ou /bin.
Et y a tellement d'autres manières de contourner, si tu laisses vim,
emacs, mc alors les utilisateurs peuvent lancer un shell échappé même
dans un chroot. Y a aussi pas mal de commande shell pour s'échapper d'un
chroot.
Donc plutôt privilégier selinux.
Le 29/09/2021 à 15:29, Élodie BOSSIER via FRsAG a écrit :
Vraiment pas bête et assez puissant, je test ça :)
Le 29/09/2021 à 15:22, Samuel Thibault a écrit :
Peut-être utiliser un volume monté séparément, avec l'option de
montage noexec ?
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
