Eu notei que / proc e / dev estão montados de forma diferente no Ubuntu do que em outras distribuições Linux, como segue:
Ubuntu:
udev on /dev type devtmpfs (rw,nosuid,relatime,size=4079136k,nr_inodes=1019784,mode=755)
proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)
ALinux:
devtmpfs on /dev type devtmpfs (rw,relatime,size=1015576k,nr_inodes=253894,mode=755)
proc on /proc type proc (rw,relatime)
Eu sei que nosuid é uma opção de segurança para proibir arquivos que contenham sinalizadores setuid. Mas o / proc não é um sistema de arquivos virtual e / proc serve como uma interface para consultar informações de kernal. Por que o / proc ainda precisa ser montado com nosuid ? Similarmente ao / dev.
Por favor, deixe-me saber.
1 palavra. Segurança. Como regra geral, você deve conceder apenas permissões suficientes para realizar o trabalho. Permitir setuid em coisas em / proc não faz sentido ... portanto ... não permita isso. Tudo o que isso potencialmente faria é criar uma superfície de ataque para explorar seu sistema.