Nodev ve nosuidin fstab'ta açıklaması

44

Biri bir tmpfs veya ramfs nasıl bağlanacağını açıkladığında, web'de sürekli olarak önerilen bu iki seçeneği görüyorum. Çoğu kez noexec ile de ama özellikle nodev ve nosuid ile ilgileniyorum. Temel olarak, birisinin önerdiği şeyi, gerçek bir anlayış olmadan, kör bir şekilde tekrarlamaktan nefret ediyorum. Ve bununla ilgili internette sadece kopyala / yapıştır talimatlarını gördüğüm için buraya soruyorum.

Bu dokümantasyondan kaynaklanmaktadır:
nodev - Dosya sistemindeki blok özel aygıtları yorumlamayın.
nosuid - Suid ve sgid bitlerinin çalışmasını engelle.

Ama ikisini dışarıda bırakırsam neler olabileceğine dair pratik bir açıklama istiyorum. Diyelim ki, sistemdeki belirli (root olmayan) bir kullanıcı tarafından erişilebilen (okuma + yazma) tmpfs veya ramfs'i (bu iki belirtilen seçenek kümesi olmadan) yapılandırdım. Bu kullanıcı sisteme zarar vermek için ne yapabilir? Ramfs durumunda kullanılabilir tüm sistem belleğini tüketme durumu hariç

linux  security  fstab 
Ivan Kovacevic
kaynak
1
Bu, Q'nize
Eliptik görünüm

Yanıtlar:

36

Bunu sert bir kural olarak kör olarak takip etmeniz gerekmez. Ancak güvenlik odaklı durumların gerekçeleri aşağıdaki gibidir.

  • Nodev mount seçeneği, dosya sisteminin özel cihazlar içeremeyeceğini belirtir: Bu bir güvenlik önlemidir. Bunun gibi bir kullanıcının erişebileceği bir dosya sisteminin, karakter cihazlarının yaratılması veya rastgele cihaz donanımına erişim potansiyeli olmasını istemiyorsunuz .

  • Nosuid mount seçeneği, dosya sisteminin set kullanıcı kimliği dosyalarını içeremeyeceğini belirtir. Dünyaca yazılabilir bir dosya sistemindeki setuid ikili dosyalarının önlenmesi mantıklıdır, çünkü orada kök yükseltme veya başka bir korkunçluk riski vardır.

Ne pahasına olursa olsun, bu parametreleri sık sık kullanmıyorum ... sadece diğer uygunluk hususlarının olduğu halka açık sistemlerde.

ewwhite
kaynak
1
Aslında halka açık bir sistemim var, çünkü yazılım ağa açık olan hesap altında çalışıyor. Bu yüzden burada ne-senaryoları merak ediyorum. Ya biri bir güvenlik açığından kabuk erişimi kazanırsa? Elbette, haklarını yükseltmek için yapabileceği başka şeyler var ama onları en aza indirmeyi tercih ederim. Bu nedenle, örneğin intihar için kullanıcının dosya sistemine izin verip vermemesine bakılmaksızın bu bayrağı değiştiremeyeceğini merak ediyorum. Nosuid seçeneği o zaman sadece yanlışlıkla kötü yapılandırılmış yazılımı (bir kök tarafından) önlüyor mu? Veya bir kullanıcı bunu yalnız mı kullanabilir?
Ivan Kovacevic
1
@IvanKovacevic Önerilen dosya sistemi bağlama seçeneklerini kullanmak zorunda değilsiniz. Saldırı vektörünü azaltmak için oradalar. Olup olmama senaryolarını incelemek bu sorunun kapsamı dışında olabilir.
beyaz
3
@beyaz: ilgili nosuidsetuid bit göz ardı edilmez mi? (yerine The nosuid mount option specifies that the filesystem cannot contain set userid files)
user2284570 11:16
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.