linux – Explicación de nodev y nosuid en fstab

Pregunta:

Veo esas dos opciones sugeridas constantemente en la web cuando alguien describe cómo montar un tmpfs o ramfs. A menudo también con noexec, pero estoy específicamente interesado en nodev y nosuid. Básicamente, odio repetir ciegamente lo que alguien sugirió, sin una comprensión real. Y como solo veo instrucciones de copiar / pegar en la red con respecto a esto, pregunto aquí.

Esto es de documentación:
nodev : no interprete los dispositivos especiales de bloque en el sistema de archivos.
nosuid : bloquea el funcionamiento de los bits suid y sgid.

Pero me gustaría una explicación práctica de lo que podría suceder si dejo esos dos fuera. Digamos que he configurado tmpfs o ramfs (sin estas dos opciones mencionadas) que es accesible (lectura + escritura) por un usuario específico (no root) en el sistema. ¿Qué puede hacer ese usuario para dañar el sistema? Excluyendo el caso de consumir toda la memoria disponible del sistema en caso de ramfs

Respuesta:

No tienes que seguir esto ciegamente como una regla estricta. Pero el razonamiento para situaciones más centradas en la seguridad es el siguiente.

  • La opción de montaje de nodev especifica que el sistema de archivos no puede contener dispositivos especiales: esta es una precaución de seguridad. No desea que un sistema de archivos de usuario accesible en todo el mundo como este tenga el potencial para la creación de dispositivos de caracteres o acceso a hardware de dispositivo aleatorio.

  • La opción de montaje nosuid especifica que el sistema de archivos no puede contener archivos de ID de usuario establecidos. La prevención de binarios setuid en un sistema de archivos con permisos de escritura en todo el mundo tiene sentido porque existe el riesgo de una escalada de raíz u otras cosas horribles allí.

Por lo que vale, no uso estos parámetros a menudo … solo en sistemas de cara al público donde hay otras consideraciones de cumplimiento.

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım