Felületesen nézve minden jel szerint elavult, merthogy 12 éve lukas szita a noexec, 7 éve közismerten lyukas. Kinek hiszel? A kernelfejlesztőknek, akik évek óta írják, hogy lyukas a cucc, használj SELinux és társait és próbálkoznak olyan megoldással, ami megy SELinux nélkül is, vagy mindenféle audit listáknak, ahol az az érdekük, hogy jóóóóó hosszú legyen a lista, az se baj, ha tele van faszságokkal? Ja, nyilván nem a kernel fejlesztőknek... :D
Komolyan nem értem az egészet. Fehér alapon le van írva fekete betűkkel, hogy a noexec mount opction nem véd. Kernel fejlesztők írták le, névvel, nem kis nevek a témában. Ha ezek után jössz azzal, hogy "igen, de az audit...", az ezen a téren nem véd meg a támadásoktól, csak maximum a támadás jogi következményeitől és értelmes audit cég SELinux és társait fogja megkövetelni. Megpróbálom lassan leírni: nem azt mondom, hogy lehessen a /tmp alatt x joggal futtatni bármit, hanem azt, hogy erre a noexec mount option nem alkalmas immár 12 éve és láthatóan még évekig nem lesz rá kernel szintű megoldás.
Mondok meglepőt: az auditon átmegy a SELinux megoldás, ha azzal korlátozod le a /tmp x jogát, merthogy nincs előírva, hogy _mivel_ kell lekorlátozni. OpenSCAP-on szerintem már egy ideje nem kellene átmennie a puszta noexec mount option-nek, mert van rá tesztesetük, ami azt nézi, hogy kihasználható-e a /proc/PID/mem alapú támadás.
Röviden: a noexec mount option nem véd. Ha noexec jellegű védelem kell, akkor SELinux és társai kell.