Durcir les points de montage avec nodev, nosuid et noexec

Un attaquant qui dépose un script dans /tmp ou /dev/shm et l'exécute, ou qui pose un binaire setuid sur une partition de données, profite de montages trop permissifs. Les options noexec, nosuid et nodev ferment ces vecteurs : interdire l'exécution, neutraliser l'élévation de privilèges, ignorer les fichiers de périphériques. Ce guide montre comment établir une baseline, durcir /dev/shm et /tmp de façon persistante, et éviter le piège du noexec sur /tmp qui casse certains installeurs. L'approche suit CIS 1.1 et la recommandation R28 d'ANSSI-BP-028 v2.0.

Ce que vous allez apprendre

• Comprendre ce que font nodev, nosuid et noexec
• Mesurer les options de montage actuelles avec findmnt
• Durcir /dev/shm et /tmp de façon persistante (fstab ou systemd)
• Vérifier que l'exécution est bien bloquée, sans casser le système
• Contourner le piège du noexec sur /tmp

Les trois options de durcissement

Option	Effet	Vecteur fermé
noexec	Interdit d'exécuter un binaire ou un script depuis ce montage	Charge utile déposée puis exécutée
nosuid	Neutralise les bits setuid/setgid	Élévation via un binaire setuid posé là
nodev	Ignore les fichiers de périphériques	Fichier /dev piégé sur une partition de données

Glissez pour voir

L'idée du durcissement : sur les zones où l'on ne fait que stocker des données (/tmp, /var, /home, /dev/shm), aucune de ces capacités n'est légitime. Les retirer ne gêne pas l'exploitation mais bloque des techniques d'attaque courantes.

Le durcissement des montages suppose un vrai système

Les options de montage s'appliquent au noyau de la machine. Dans un conteneur, vous héritez des montages de l'hôte et ne contrôlez pas /etc/fstab. Faites ce durcissement sur une machine physique ou une VM.

Prérequis

• Un serveur Linux (Debian, Ubuntu, RHEL, AlmaLinux, Rocky) ou une VM
• Un accès root (ou sudo)
• Une fenêtre de test : un montage mal configuré peut empêcher un service de démarrer

Établir une baseline

Regardez les options réellement actives avant de toucher quoi que ce soit :

findmnt -no TARGET,OPTIONS /dev/shm /tmp /home

Sur une Debian 12 par défaut, on observe deux trous typiques :

/dev/shm   rw,nosuid,nodev

/dev/shm a bien nosuid et nodev, mais pas noexec : un script déposé là s'exécute. Et /tmp n'apparaît pas, car il est sur la racine (pas une partition séparée), donc impossible à durcir tant qu'on ne le monte pas à part.

Durcir /dev/shm

C'est le cas le plus simple : /dev/shm est déjà un tmpfs, il suffit de le remonter avec l'option manquante, puis de figer ça dans /etc/fstab.

1. Remonter avec noexec

   sudo mount -o remount,noexec,nosuid,nodev /dev/shm

2. Vérifier que l'exécution est bloquée

   printf '#!/bin/sh\necho test\n' > /dev/shm/poc.sh
   chmod +x /dev/shm/poc.sh
   /dev/shm/poc.sh

   /dev/shm/poc.sh: Permission denied

   Le noexec rejette l'exécution, même si le fichier porte le bit exécutable.

3. Rendre persistant dans /etc/fstab

   tmpfs   /dev/shm   tmpfs   defaults,noexec,nosuid,nodev   0 0

Durcir /tmp

Sur la plupart des distributions, /tmp n'est pas une partition séparée. Deux approches pour le durcir, au choix :

tmpfs via fstab

Monter /tmp en mémoire (tmpfs) avec les options de durcissement. Ajoutez à /etc/fstab :

tmpfs   /tmp   tmpfs   rw,nosuid,nodev,noexec,size=512M   0 0

Puis appliquez :

sudo mount /tmp
findmnt -no OPTIONS /tmp

rw,nosuid,nodev,noexec,relatime,size=524288k

Avantage : rapide, pas de repartitionnement. Limite : /tmp est en RAM, dimensionnez size= selon votre charge.

systemd tmp.mount

systemd fournit une unité prête à l'emploi pour monter /tmp en tmpfs durci :

sudo cp /usr/share/systemd/tmp.mount /etc/systemd/system/
sudo systemctl enable tmp.mount

L'unité applique nosuid,nodev,noexec par défaut. C'est l'option propre sur un système systemd, sans éditer /etc/fstab.

Vérifiez l'effet comme pour /dev/shm : un script déposé dans /tmp doit renvoyer Permission denied à l'exécution.

noexec sur /tmp casse certains installeurs

Plusieurs outils exécutent depuis /tmp : scripts de post-installation de paquets, compilations, runtimes Java, certains installeurs. Avec noexec, ils échouent. Trois parades :

• pointer le répertoire temporaire de l'outil ailleurs (par exemple APT::ExtractTemplates::TempDir "/var/cache/apt/tmp"; pour APT) ;
• remonter temporairement le temps d'une installation : sudo mount -o remount,exec /tmp, puis rétablir noexec ensuite ;
• réserver un répertoire exécutable dédié, hors /tmp.

Testez vos déploiements après avoir activé noexec sur /tmp.

Aller plus loin : les autres montages

La même logique s'étend aux autres zones de données, selon votre cas :

Montage	Options recommandées	Remarque
/dev/shm	noexec,nosuid,nodev	tmpfs, sûr
/tmp	noexec,nosuid,nodev	attention aux installeurs
/var/tmp	noexec,nosuid,nodev	souvent un bind sur /tmp
/home	nosuid,nodev	noexec casse les scripts utilisateurs
/boot	nosuid,nodev,noexec	monté seulement aux mises à jour noyau
/var	partition séparée	évite qu'un débordement de logs sature /

Glissez pour voir

nodev et nosuid sont sûrs presque partout

Contrairement à noexec, les options nodev et nosuid ne cassent quasiment jamais un usage légitime sur une partition de données. Vous pouvez les généraliser sans risque ; réservez la prudence à noexec.

Vérifier

Un contrôle rapide de l'ensemble des montages durcis :

for m in /tmp /dev/shm /var/tmp; do
  printf '%-10s %s\n' "$m" "$(findmnt -no OPTIONS "$m" 2>/dev/null || echo 'non monté à part')"
done

Et un test fonctionnel : déposer un script exécutable dans chaque zone durcie doit échouer à l'exécution, tandis que les binaires système de /usr continuent de fonctionner normalement.

Sécurité et points de vigilance

• noexec n'est pas une barrière absolue : un interpréteur reste capable de lire et d'exécuter un script (sh /tmp/script.sh fonctionne même avec noexec). L'option bloque l'exécution directe, pas l'interprétation explicite. C'est une réduction de surface, pas une protection totale.
• Dimensionner les tmpfs : /tmp en mémoire consomme de la RAM. Une size= trop petite fait échouer des opérations légitimes, trop grande expose à une saturation mémoire.
• Séparer /var sur un serveur exposé : un débordement de journaux ne doit pas remplir la partition racine et bloquer le système.
• Tracer les changements : couplez avec auditd pour journaliser les modifications de /etc/fstab.

Dépannage

Symptôme	Cause probable	Solution
Un installeur ou apt échoue après durcissement	noexec sur /tmp	Rediriger le tmp de l'outil ou remonter exec le temps de l'opération
mount /tmp refuse de monter	Ligne /etc/fstab incorrecte	Vérifier la syntaxe avec findmnt --verify
Les options ne tiennent pas après reboot	Remontées à la volée, pas dans fstab	Ajouter la ligne dans /etc/fstab ou activer tmp.mount
/tmp plein alors qu'il y a de l'espace disque	tmpfs limité par size=	Augmenter size= ou repasser sur disque
Un service échoue à écrire un périphérique	nodev sur un montage qui en a besoin	Retirer nodev de ce montage précis

Glissez pour voir

À retenir

• noexec, nosuid, nodev ferment des vecteurs d'attaque sur les zones de données
• /dev/shm a souvent nosuid,nodev mais pas noexec par défaut : ajoutez-le
• /tmp n'est pas séparé par défaut : montez-le en tmpfs (fstab) ou via tmp.mount
• noexec sur /tmp casse des installeurs : prévoyez une parade (redirection ou remontage temporaire)
• nodev et nosuid sont sûrs presque partout ; noexec demande des tests
• Référentiels : CIS 1.1 et ANSSI-BP-028 R28 (« Partitionnement type »)

Prochaines étapes

Désactiver des modules noyau Réduire encore la surface : retirer les systèmes de fichiers et protocoles rares.

Durcir le noyau avec sysctl Compléter le durcissement des montages par les paramètres noyau et réseau.

Tracer avec auditd Journaliser les modifications de /etc/fstab et des fichiers sensibles.

CIS Benchmarks Le référentiel d'où viennent ces options de montage (section 1.1).

×

📖 Voir la documentation →