Permissões de / dev / shm e / dev / mqueue

1

Ambiente

Distro: CentOS7 Kernel: 3.10.0-427.10.1.lve1.4.7.el7.x86_64 .

Cenário

Este é um ambiente de hospedagem compartilhada e observei que apenas /dev/mqueue e /dev/shm têm 1777 permissions ( /tmp e /var/tmp também, mas eles estão além do ponto aqui).

Perguntas

  1. Isso representa uma ameaça à segurança do servidor? Por exemplo, um usuário do sistema pode ocupar os diretórios com lixo inútil e preencher sua cota de disco;
  2. Dado que todo o diretório /dev está montado em devtmpfs , isso significa que tudo será eliminado / eliminado do diretório uma vez que uma reinicialização ocorre?
  3. Qual é a diferença entre tmpfs e devtmpfs ?

Veja o que está atualmente montado:

Filesystem      Size  Used Avail Use% Mounted on
/dev/sdi1       148G  730M  140G   1% /
devtmpfs         59G     0   59G   0% /dev
tmpfs            59G     0   59G   0% /dev/shm
tmpfs            59G  4.1G   55G   7% /run
tmpfs            59G     0   59G   0% /sys/fs/cgroup
/dev/sdh1       148G   14G  127G  10% /usr
/dev/sda1       2.0G  269M  1.6G  15% /boot
/dev/sdg1       148G  7.7G  133G   6% /var
/dev/sdd1       148G  468M  140G   1% /tmp
/dev/sdc1       493G   13G  455G   3% /ssd
/dev/sde1       493G   37G  431G   8% /localbkp
/dev/sdf1       8.0T  515G  7.1T   7% /home
tmpfs            12G     0   12G   0% /run/user/0
tmpfs            12G     0   12G   0% /run/user/1242
tmpfs            12G     0   12G   0% /run/user/1507
tmpfs            12G     0   12G   0% /run/user/1812

Obrigado.

    
por McJohnson 30.10.2016 / 18:53

1 resposta

1

Does that pose a threat to the security of the server? For instance, a system user might occupy the directories with useless junk and fill their disk quota;

Claro, mas eles já podem apenas encher a memória de malloc() ing de qualquer maneira (sim, você pode usar ulimit() , mas isso é um limite por processo). Se você quiser proteger os usuários do uso de memória um do outro, terá que colocá-los em contêineres diferentes.

Given that the entire /dev directory is mounted on devtmpfs, does that mean that everything will be flushed/deleted from the directory once a reboot takes place?

Sim.

What is the difference between tmpfs and devtmpfs?

Da documentação do CONFIG_DEVTMPFS do kernel:

Isso cria um sistema de arquivos tmpfs, monta-o na inicialização e o monta em / dev. O núcleo do driver do kernel cria nós de dispositivo para todos os dispositivos registrados nesse sistema de arquivos. Todos os nós de dispositivos são de propriedade de root e têm o modo padrão de 0600. O espaço do usuário pode adicionar e excluir os nós, conforme necessário. Isso se destina a simplificar a inicialização e possibilitar atrasar o coldplug inicial na inicialização feita pelo udev no userspace. Ele também deve fornecer uma maneira mais simples de os sistemas de resgate exibirem um kernel com números principais / secundários dinâmicos. Links simbólicos, permissões e propriedade de dispositivos significativos ainda devem ser manipulados pelo espaço do usuário.

    
por 30.10.2016 / 19:42