Eu tive uma longa conversa sobre a opção de montagem "noexec" aqui .
Infelizmente, parece que tudo isso é discutível. O problema é que estou tentando adicionar a opção "noexec" ao ponto de montagem "bind". Algo parecido com isto:
/bin/tmp /tmp none defaults,bind,noexec 0 0
Adicionar a opção "noexec" como no código acima não impede que uma pessoa faça, por exemplo, cd /temp && cp /bin/cp ./ && cp .
Então, agora a questão é - é possível fazer o "noexec" funcionar assim ou fazer alguma outra coisa para não permitir que as pessoas executem o programa (como no exemplo acima) / tmp?
Obrigado.
Para evitar que pessoas executem um programa em / tmp, você precisará usar algo como Apparmor ou mais comumente SELinux . Dependendo do acesso de seus usuários (ou seja, quais aplicativos eles usam), você pode achar mais fácil despejá-los em uma jaula chroot ou, se seu PHP, modificar o php.ini para evitar a execução de arquivos de certos locais e chamadas de shells.