noexec /tmp und Debian
Beim fröhlichen Patchwochenende ist mir wieder aufgefallen, dass Debian Linux ein Problem damit hat, wenn man für das /tmp-Verzeichnis das noexec-Flag setzt. Dieses sorgt dafür, dass keine Dateien in diesem Verzeichnis ausgeführt werden dürfen - eine durchaus gängige Sicherheitsmaßnahme gegen Rootkits & Co.
Manche Pakete entpacken allerdings das eine oder andere Script ins /tmp-Verzeichnis und wollen es dort ausführen, was dann zu hässlichen Fehlermeldungen bei APT führt.
Einziges Workaround: zum Beginn einer Wartung das /tmp-Verzeichnis ohne noexec-Flag remounten, dann Software aktualisieren, dann wieder mit noexec mounten… 
Am 11. September 2006 um 14:43 Uhr
Vielleicht hilft’s
http://www.rootforum.de/forum/viewtopic.php?p=265203
Am 11. September 2006 um 14:53 Uhr
Wir haben hier ein entsprechendes ‘remount.sh’-Script im Einsatz. Die Einbindung über pre-Invoke/post-Invoke ist aber natürlich der elegantere Weg.
Am 11. September 2006 um 16:56 Uhr
das noexec-flag ist aber nur kosmetik - binaries kannst du in /tmp selbst mit noexec noch ausführen …
Am 11. September 2006 um 17:18 Uhr
Da kennt sich noch jemand gut aus
Klar gibt es Tricks um das zu umgehen, dennoch filtert noexec sehr viele lästige Rootkits etc. heraus. Wer *wirklich* in einen Linux-Rechner einsteigen will, findet wohl fast immer einen Weg (mit dem entsprechenden Know-How). Eine Aufgabe des Admins ist es eben, möglichst viele Steine in den Weg zu räumen.
Am 12. September 2006 um 01:14 Uhr
;-)