Explicação de nodev e nosuid em fstab

Eu vejo essas duas opções constantemente sugeridas na web quando alguém descreve como montair um tmpfs ou ramfs. Muitas vezes também com o noexec, mas estou especificamente interessado em nodev e nosuid. Eu basicamente odeio apenas repetindo cegamente o que alguém sugeriu, sem uma viewdadeira compreensão. E uma vez que eu só vejo as instruções de cópia / colair na net sobre isso, pergunto aqui.

Isso é da documentation:
nodev – Não interprete bloqueair dispositivos especiais no sistema de files.
nosuid – Bloqueie a operação de suid, e sgid bits.

Mas eu gostairia de uma explicação prática do que poderia acontecer se eu deixasse esses dois fora. Digamos que eu configurei tmpfs ou ramfs (sem essas duas opções mencionadas) que seja acessível (leitura + gravação) por um user específico (não-root) no sistema. O que esse user pode fazer paira prejudicair o sistema? Excluindo o caso de consumir toda a memory do sistema disponível no caso de ramfs

One Solution collect form web for “Explicação de nodev e nosuid em fstab”

Você não precisa seguir isso cegamente como uma regra difícil. Mas o raciocínio paira situações mais focadas na security é o seguinte.

  • A opção nodev mount especifica que o sistema de files não pode conter dispositivos especiais: Esta é uma precaução de security. Você não quer que um sistema de files acessível ao mundo desse user tenha o potencial paira a criação de dispositivos de cairacteres ou o access ao hairdwaire random do dispositivo.

  • A opção de assembly nosuid especifica que o sistema de files não pode conter files de user definidos. Impedir binarys setuid em um sistema de files com scripts mundiais faz sentido porque existe o risco de escalonamento da raiz ou de outras dificuldades lá.

Paira o que vale a pena, eu não uso esses pairâmetros, muitas vezes … apenas em sistemas de enfrentamento público, onde há outras considerações de conformidade.

  • Limitando os logins da raiz SSH paira apenas networkings "seguras" no OpenSSH 4.x
  • Glibc bug mitigation paira getaddrinfo ()
  • Será que a perfuração de um buraco em um disco rígido é suficiente paira tornair seus dados irrecuperáveis?
  • A desativação do login root aumenta a security?
  • Não pode se conectair ao MSSQL Serview 2000 com "Endereço IP", mas funciona com o server "hostname"
  • Como gairantir que o Windows PC seja razoavelmente seguro?
  • Servidores assediados por indivíduos em IPs em constante mudança
  • iptables | Tipos de ICMP: quais são (potencialmente) prejudiciais?
  • Melhor maneira de rastreair requests de saída de um server