É apropriado restringir a propriedade do arquivo do dispositivo ao root, pois os arquivos do dispositivo fornecem acesso relativamente irrestrito ao hardware. Exemplos de locais onde o acesso irrestrito ao hardware é inadequado:
- O acesso a / dev / sda (o arquivo do dispositivo para o disco rígido) fornece o seguinte:
- A capacidade de ignorar controles de acesso e auditoria.
- A capacidade de danificar o sistema de arquivos.
- A capacidade de controlar os dados no disco, que é analisado no espaço do kernel para montar sistemas de arquivos.
- O acesso a / dev / dsp (o arquivo de dispositivo que representa um microfone) pode fornecer acesso a um invasor para ouvir conversas (remotas) que ocorrem perto do hardware.
- O acesso ao dispositivo de vídeo pode (em hardware mais antigo) permitir que um invasor danifique a exibição do vídeo. Em hardware mais novo, poderia ser usado para cozinhar a GPU.
Existem outras razões para restringir o acesso, mas fundamentalmente o acesso ao hardware é restrito porque você valoriza o hardware, porque o mundo real ao qual o hardware fornece acesso é mais valioso do que os bits e porque o hardware é relativamente confiável pelo kernel.
Em alguns casos, os sistemas são configurados de modo que o acesso físico à máquina (por exemplo, o login em um console local) significa que você obtém acesso elevado a alguns dispositivos (por exemplo, leitor / gravador de CD). O documento da NSA pode estar argumentando contra essa configuração implicitamente.