Attention un script shell, du python / perl / php ... déposé sur une partition en noexec il suffit de mettre l'interpréteur devant et ça se lance.

bash ./monscript.sh ou équivalent python ./monscript.py ça marche en noexec car l'exécution de l'interpréteur se situe dans /usr/bin ou /bin.

Et y a tellement d'autres manières de contourner, si tu laisses vim, emacs, mc alors les utilisateurs peuvent lancer un shell échappé même dans un chroot. Y a aussi pas mal de commande shell pour s'échapper d'un chroot.

Donc plutôt privilégier selinux.

Le 29/09/2021 à 15:29, Élodie BOSSIER via FRsAG a écrit :

Vraiment pas bête et assez puissant, je test ça :)

Le 29/09/2021 à 15:22, Samuel Thibault a écrit :

Peut-être utiliser un volume monté séparément, avec l'option de
montage noexec ?

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/