А можно ли поставить noexec на определённую папку?

Похоже, что нет... mount -o bind,noexec не прокатывает, но если сделать бинд на директорию на разделе с noexec, то должно работать. А /tmp создай как tmpfs и не нужен лишний раздел.

> А /tmp создай как tmpfs и не нужен лишний раздел.

Как сиё проделать?

Создай тогда как виртуальный девайс/раздел. И под него монтируй с опцией noexec.

Добавить в /etc/fstab строчку

none /tmp tmpfs size=256M,noexec,nodev,nosuid 0 0

Только имей ввиду, что tmpfs организовывается в виртуальной памяти и после перезагрузки всё её содержимое теряется.

Через selinux/grsecurity, по идее.

а не реально сделать, чтобы tmpfs не терялась? Может, ФС в файле?

http://www.rsbac.org/ - ядро с дополнительными возможностями защиты.

Только, я предполагаю, это слишком могучее решение для твоей задачи.

стоп! а что в линюксах нет nullfs? oO

http://www.linux.org.ru/view-message.jsp?msgid=3432925
ну взять пример от сюда и внедрить нужные параметры

> Только имей ввиду, что tmpfs организовывается в виртуальной памяти и после перезагрузки всё её содержимое теряется.

Насколько я помню, при выключении /tmp также вычищается.

хм.. имхо, способ с tmpfs самый лучший для твоей задачи

#uname -a
Linux <hostname> 2.6.24-19-server #1 SMP Wed Jun 18 15:18:00 UTC 2008 i686 GNU/Linux
#mkdir folder
#mkdir noexecfolder
#sudo mount -o noexec --bind folder noexecfolder
#cd noexecfolder
#echo '#!/bin/bash' > 1.sh
#echo echo 123 >> 1.sh
#chmod u+x 1.sh
#./1.sh
123
#

:(
а жаль

#mount
<skipped>
/home/<username>/exprmnts/folder on /home/<username>/exprmnts/noexecfolder type none (rw,noexec,bind)

>Только имей ввиду, что tmpfs организовывается в виртуальной памяти и после перезагрузки всё её содержимое теряется.

А полезную инфу в /tmp только самоубийца хранить может :)

...

И в некоторых дистрах /tmp вообще в процессе стартапа системы чистится :)

а если так
mount --bind folder noexecfolder
mount -o remount,noexec noexecfolder
?

создать файл и смонтировать через loopback как файлуху :)

век живи - век учись. Спасибо огромное, очень интересный факт.

#sudo mount -o noexec --bind folder noexecfolder/
#sudo mount --bind folder noexecremount/
#sudo mount -o remount,noexec noexecremount/
#mount
<skipped>
/home/<username>/expermnts/folder on /home/<username>/expermnts/noexecremount type none (rw,noexec,bind)
/home/<username>/expermnts/folder on /home/<username>/expermnts/noexecfolder type none (rw,noexec,bind)
#cd noexecfolder
#./1.sh
123
#cd ../noexecremount/
#./1.sh
-bash: ./1.sh: /bin/bash: bad interpreter: Permission denied

оно?
Но, ИМХО, комрад Ъ_админ предложил более адекватное поставленной задаче решение.

Елы палы.
А думал, что уже ничего не удивляет..

А почему только после remount работает noexec?

>#./1.sh >-bash: ./1.sh: /bin/bash: bad interpreter: Permission denied

а если так: bash < 1.sh

:)

моя не знает, моя прочитал какойто список рассылки за 2001 год ^_^
божеш мой, линупс до сих пор в каменном веке обитает
с другой стороны может давно уже есть нормальная nullfs только надо нагуглить? хотябы потому что линупс заруливает все другие ОСи по кол-ву поддерживаемых fs

сработает. Но это, на фоне высказанного выше, мегапредсказуемый факт :) Скрипт не запускается на исполнение, команды из него передаются.

з.ы. блин-йопрст! Пойду уберу с хоума ноэкзек. Всё равно он не поможет нифига :(