"
Azaz ha már van UID=0 processzed, akkor ki/be kapcsolgatható. Ez rendben is van.
Lófaszt van rendben, megszakad a processz, aztán ott marad noexec nélkül a /tmp. Másrészt milyen megoldás az, hogy kinyit egy "nagykaput" az update idejére?"
Persze, hogy nincs rendben, mert baromság, botrányosan ronda taknyolás a csomaggányoló részéről (maintainert nem mondanám rá, ahogy anno az OpenSSL csomag esetében is nagyszerű dolgot alkotó illetőre sem...).
A "rendben van"-t úgy értettem, hogy ha már van a felügyeletem alatt olyan processz, ami UID=0, akkor rendben van, hogy remount bármi-bárhogy, mert már nem az a cél, hogy jogosultsági szintet növeljek, vagy oldalazva másik identitást vegyek fel.
Hiába írod le 123-szor, hogy minden exploit elmegy a noexec-es mindenki által írható /tmp mellett, az a te _véleményed_ lesz - amit meg én láttam, az meg az én tapasztalatom. Robotizált támadás esetén minden kiskapu, amit bezársz, hasznos. Ha célzott a támadás, akkor csak a csípőfogó és a méteres vasbeton kocka ad igazi védelmet :-)