`/ tmp`の実行権限を削除するか、` noexec`フラグでマウントしますか？

/tmpを含むchmod -R -x /tmpで実行ビットを再帰的に削除しても、/tmpからのファイルの実行が妨げられることはありません。

まず、/tmp内のファイルcurrentlyにのみ適用されます。 chmodを実行した後に作成された新しいファイルには、制限はありません。

第2に、別のユーザーのファイルから実行ビットを削除しても、ユーザーによる実行は妨げられません。ユーザーは、変更後に実行ビットを追加できます。

3番目に、ディレクトリの実行ビットは実際には「検索」と呼ばれ、ファイルの場合とは異なる意味を持っています。このディレクトリ構造を考えると：

.:
total 8
drwxrwxr-x 2 root root 4096 ago 25 13:54 dir1
drwxrwxr-x 2 root root 4096 ago 25 13:54 dir2
./dir1:
total 0
-rw-rw-r-- 1 root root 0 ago 25 13:54 file1
-rw-rw-r-- 1 root root 0 ago 25 13:54 file2

./dir2:
total 0
-rw-rw-r-- 1 root root 0 ago 25 13:54 file1
-rw-rw-r-- 1 root root 0 ago 25 13:54 file2

chmod -x dir1を使用してdir1から「検索」ビットを削除すると、次のようになります。

$ chmod -x dir1
$ ls -l dir1
ls: no se puede acceder a 'dir1/file2': Permiso denegado
ls: no se puede acceder a 'dir1/file1': Permiso denegado
total 0
-????????? ? ? ? ?            ? file1
-????????? ? ? ? ?            ? file2

$ cat dir1/file1 
cat: dir1/file1: Permiso denegado

/ tmpでこれを行うと、使用できない一時ディレクトリが表示され、いくつかのプログラムがクラッシュします。

したがって、noexecマウントオプションをchmoddingで置き換えることはできません。

新しいパーティションを追加せずに本当にしたい場合¹ または、tmpfs/loop-mountedファイルを使用して（Shaneが推奨）、bind-fuを this SF answer で試すことができます

_{1：論理ボリュームを使用していれば、この問題は発生しないと私は主張します;）}

一部のファイルも一時ファイルであり、実際に実行する必要なく実行可能である必要があります。パーティションをnoexecでマークしても、+xを設定できますが、（Shell、ld-linux-x86-64.soによる）実行は禁止されています。これは、あなたが言ったようにセキュリティの追加レイヤーにつながります。

私はいくつかの方法を知っていますが、setfacl（ACL）を使用するのが最も効果的だと感じました。 Apacheは誰も実行していないため、一時的にシェルスクリプトを実行するにはbashが必要です。

setfacl -m u:nobody:r bash

Apacheは引き続き/tmpを読み書きできますが、実行はできません。