Приветствую, форумчане!
Компьютер не предназначен для написания программ. Соответственно, разумно смонтировать /home с опцией noexec. Однако, посмотрев вывод mount -l, я обнаружил ещё несколько разделов, на которые потенциальный злоумышленник, не имеющий прав рута, мог бы записать исполняемые программы и потом запустить их. Это разделы /dev/mqueue и /dev/shm, в которых разрешено писать и исполнять всем пользователям, раздел /run/user/119, принадлежащий менеджеру lightdm (на нём владелец lightdm, не являющийся рутом, может писать и испольнять программы) и каталог /run/user/1000, в который разрешено писать и исполнять созданному пользователю.
Собственно, вопрос: если я смонтирую все 4 вышеперечисленных раздела с опцией noexec, не испорчу ли я чего?
Я знаю, что почти все они (кроме /dev/mqueue) смонтированы с опцией nosuid, этого мне разжёвывать не надо. Но всё-таки и без прав рута можно что-то подпортить, а /dev/mqueue вообще по умолчанию смонтирован и без noexec, и без nosuid. Также я знаю, что от запуска скриптов с помощью команды «имя_интерпретатора имя_скрипта» никакой noexec не поможет, этого тоже не надо разжёвывать. Но хотя бы от запуска эльфов поможет. А вот если кто-то знает и расскажет, как запретить запуск любых скриптов на выбранных разделах и, если такое вообще возможно (в чём я сомневаюсь), не испорчу ли я чего, - буду премного благодарен.
