"A legjobb kikalapálás a Debian-ban volt, amelyik update előtt preExec kikapcsolta a noexec flag-et, letolta az update-et, aztán visszakapcsolta."
Ez egyrészt ronda hack, másrészt ehhez _már_ uid=0 processz kell.
" A SELinux és társai megoldják, mert tudják korlátozni a /proc/self/mem írását, de gondolom azt nem használod, hanem hiszel a noexec működésében."
Írtam, hogy minden kockázatcsökkentő megoldás hasznos _lehet_. Sajnos a debijjány-származékoknál a SELinux fekete bárány, úgyhogy ott csak Apparmor van, ahol viszont van SELinux, ott teszten permissive, élesben enforced, ahogy azt kell, szükség szerint egyedi (teszten kiderült) módosításokkal/extra beállításokkal.
Lehet, hogy te még nem láttál jelenleg is aktívan használt exploitokat, amik a noexec mounton elhasalnak, én igen. És mint írtam, _ha_ lassítható, nehezíthető a támadó dolga, akkor hasznos minden eszköz, ami nem okoz nagyobb üzemeltetési kockázatot. És nem, az xyz alkalmazás döglése, ha a default TEMP/TMP környezeti változóban megadott könyvtárból futtatna bármit is az nem üzemeltetési kockázat, hanem konfigurációs hiba, amit kezelni kell (olyan könyvtárat adni oda neki erre a célra, amibe nem írhat boldog-boldogtalan bármit is)
"Szóval újra és röviden: a noexec semmi ellen nem véd kurva sok ideje. Aki meg 20 év alatt nem jött erre rá, az menjen inkább kukoricát kapálni és ne ossza az észt security területen."
Ezt majd továbbítom az illetékeseknek, hogy vegyenek fel téged, mint extrém nagy tudású szakembert a meglévő embereik helyére.