1.1.8.3确保在/dev/shm分区使用nexec选项

资讯类

noexec挂载选项指定文件系统不能包含可执行二进制

原理性:

设置文件系统此选项禁止用户从共享存储器执行程序这使用户不敢向系统介绍潜在恶意软件

求解

编辑/etc/fstab文件并添加noexec为/dev/shm分区第四字段(安装选项)。
示例:

/dev/shm 默认值,rw,nosuid,nodev,noexec,relatime00

运行下命令重安装/dev/shm并配置选项

# Mount-o重挂/dev/shm

推荐tmpfs使用设备/filesystem类型,即/dev/shm应用共享内存空间

并见

https://workbench.cisecurity.org/files/4230

项目细节

审核名称 :CIS Rocky Linux9服务器L1v1.0

类别 :失序控制,媒体保护

引用 :800-53AC3,800-53AC-5,800-53AC-6,800-53+++2,CSCV714.6

插件 :ixix连接

控件标识符 :55d8cb99115bbcdc7b4a9c80614ad30665da1cc9f80f51dabb17547cdeb64a57