Porque / proc nosuid no Ubuntu

1

Eu notei que / proc e / dev estão montados de forma diferente no Ubuntu do que em outras distribuições Linux, como segue:

Ubuntu:

udev on /dev type devtmpfs (rw,nosuid,relatime,size=4079136k,nr_inodes=1019784,mode=755)  
proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)

ALinux:

devtmpfs on /dev type devtmpfs (rw,relatime,size=1015576k,nr_inodes=253894,mode=755)  
proc on /proc type proc (rw,relatime)

Eu sei que nosuid é uma opção de segurança para proibir arquivos que contenham sinalizadores setuid. Mas o / proc não é um sistema de arquivos virtual e / proc serve como uma interface para consultar informações de kernal. Por que o / proc ainda precisa ser montado com nosuid ? Similarmente ao / dev.

Por favor, deixe-me saber.

    
por Alex 15.05.2018 / 21:21

1 resposta

1

1 palavra. Segurança. Como regra geral, você deve conceder apenas permissões suficientes para realizar o trabalho. Permitir setuid em coisas em / proc não faz sentido ... portanto ... não permita isso. Tudo o que isso potencialmente faria é criar uma superfície de ataque para explorar seu sistema.

    
por 15.05.2018 / 22:33

Tags