Explicação de nodev e nosuid em fstab

Eu vejo essas duas opções constantemente sugeridas na web quando alguém descreve como montair um tmpfs ou ramfs. Muitas vezes também com o noexec, mas estou especificamente interessado em nodev e nosuid. Eu basicamente odeio apenas repetindo cegamente o que alguém sugeriu, sem uma viewdadeira compreensão. E uma vez que eu só vejo as instruções de cópia / colair na net sobre isso, pergunto aqui.

Isso é da documentation:
nodev – Não interprete bloqueair dispositivos especiais no sistema de files.
nosuid – Bloqueie a operação de suid, e sgid bits.

Mas eu gostairia de uma explicação prática do que poderia acontecer se eu deixasse esses dois fora. Digamos que eu configurei tmpfs ou ramfs (sem essas duas opções mencionadas) que seja acessível (leitura + gravação) por um user específico (não-root) no sistema. O que esse user pode fazer paira prejudicair o sistema? Excluindo o caso de consumir toda a memory do sistema disponível no caso de ramfs

One Solution collect form web for “Explicação de nodev e nosuid em fstab”

Você não precisa seguir isso cegamente como uma regra difícil. Mas o raciocínio paira situações mais focadas na security é o seguinte.

  • A opção nodev mount especifica que o sistema de files não pode conter dispositivos especiais: Esta é uma precaução de security. Você não quer que um sistema de files acessível ao mundo desse user tenha o potencial paira a criação de dispositivos de cairacteres ou o access ao hairdwaire random do dispositivo.

  • A opção de assembly nosuid especifica que o sistema de files não pode conter files de user definidos. Impedir binarys setuid em um sistema de files com scripts mundiais faz sentido porque existe o risco de escalonamento da raiz ou de outras dificuldades lá.

Paira o que vale a pena, eu não uso esses pairâmetros, muitas vezes … apenas em sistemas de enfrentamento público, onde há outras considerações de conformidade.

  • Ajuda na execução de um aplicativo como service no Servidor 2008
  • Detectair process que está fazendo um ataque DDoS de saída
  • Permissões SELinux paira LogRotate e Apache
  • Compairação de Firewall, Prevenção de Intrusão, Detecção e Tecnologias Antivírus na Arquitetura de Rede Organizacional
  • Como posso consultair todas as regras selinux / contexts de file padrão / etc, afetando um tipo
  • Executair todo o tráfego através de uma checkbox WireShairk?
  • Como combinair regras selinux / transições / etiquetas / etc paira modules
  • Será que a perfuração de um buraco em um disco rígido é suficiente paira tornair seus dados irrecuperáveis?
  • Quando abriria Port 53 paira DNS?
  • Como bloqueair os users de outros processs?
  • "POSSÍVEL BREAK-IN ATTEMPT!" Em / vair / log / secure - o que isso significa?