Среда

tag-icon tag-icon linux permissions filesystems security memory
Среда

Среда

Дистрибутив: CentOS7 Ядро: 3.10.0-427.10.1.lve1.4.7.el7.x86_64.

Сценарий

Это среда общего хостинга, и я только что заметил, что разрешения есть только у /dev/mqueueи ( а также у , но они здесь не при чем)./dev/shm1777/tmp/var/tmp

Вопросы

  1. Представляет ли это угрозу безопасности сервера? Например, системный пользователь может заполнить каталоги бесполезным хламом и заполнить свою дисковую квоту;
  2. Учитывая, что весь /devкаталог смонтирован на devtmpfs, означает ли это, что все будет очищено/удалено из каталога после перезагрузки?
  3. В чем разница между tmpfsи devtmpfs?

Вот что сейчас смонтировано:

Filesystem      Size  Used Avail Use% Mounted on
/dev/sdi1       148G  730M  140G   1% /
devtmpfs         59G     0   59G   0% /dev
tmpfs            59G     0   59G   0% /dev/shm
tmpfs            59G  4.1G   55G   7% /run
tmpfs            59G     0   59G   0% /sys/fs/cgroup
/dev/sdh1       148G   14G  127G  10% /usr
/dev/sda1       2.0G  269M  1.6G  15% /boot
/dev/sdg1       148G  7.7G  133G   6% /var
/dev/sdd1       148G  468M  140G   1% /tmp
/dev/sdc1       493G   13G  455G   3% /ssd
/dev/sde1       493G   37G  431G   8% /localbkp
/dev/sdf1       8.0T  515G  7.1T   7% /home
tmpfs            12G     0   12G   0% /run/user/0
tmpfs            12G     0   12G   0% /run/user/1242
tmpfs            12G     0   12G   0% /run/user/1507
tmpfs            12G     0   12G   0% /run/user/1812

Спасибо.

решение1

Представляет ли это угрозу безопасности сервера? Например, системный пользователь может заполнить каталоги бесполезным хламом и заполнить свою дисковую квоту;

Конечно, но они и так могут просто заполнить память, malloc()слишком много ing в любом случае (да, вы можете использовать ulimit(), но это ограничение на процесс). Если вы хотите защитить пользователей от использования памяти друг другом, вам придется поместить их в разные контейнеры.

Учитывая, что весь /devкаталог смонтирован на devtmpfs, означает ли это, что все будет очищено/удалено из каталога после перезагрузки?

Да.

В чем разница между tmpfsи devtmpfs?

Из документации ядра CONFIG_DEVTMPFS:

Это создает файловую систему tmpfs и монтирует ее при загрузке и монтирует ее в /dev. Ядро драйвера ядра создает узлы устройств для всех зарегистрированных устройств в этой файловой системе. Все узлы устройств принадлежат root и имеют режим по умолчанию 0600. Пользовательское пространство может добавлять и удалять узлы по мере необходимости. Это предназначено для упрощения загрузки и позволяет отложить начальное coldplug при загрузке, выполняемое udev в пользовательском пространстве. Это также должно предоставить системам восстановления более простой способ вызвать ядро ​​с динамическими старшими/дополнительными номерами. Значимые символические ссылки, разрешения и владение устройствами по-прежнему должны обрабатываться пользовательским пространством.

Связанный контент