it-swarm.com.de

Erklärung von nodev und nosuid in fstab

Ich sehe diese beiden Optionen ständig im Web vorgeschlagen, wenn jemand beschreibt, wie man ein tmpfs oder ramfs mounten kann. Oft auch mit noexec, aber ich interessiere mich speziell für nodev und nosuid. Ich hasse es grundsätzlich, blind zu wiederholen, was jemand vorgeschlagen hat, ohne wirklich zu verstehen. Und da ich diesbezüglich nur Anweisungen zum Kopieren/Einfügen im Internet sehe, frage ich hier.

Dies ist aus der Dokumentation:
nodev - Blockieren Sie keine Blockspezialgeräte im Dateisystem.
nosuid - Blockiert die Operation von suid- und sgid-Bits.

Aber ich hätte gerne eine praktische Erklärung, was passieren könnte, wenn ich diese beiden weglasse. Angenommen, ich habe tmpfs oder ramfs (ohne diese beiden genannten Optionen) konfiguriert, auf die ein bestimmter Benutzer (ohne Rootberechtigung) im System zugreifen (lesen + schreiben) kann. Was kann dieser Benutzer tun, um das System zu beschädigen? Ausgenommen der Fall, dass bei Ramfs der gesamte verfügbare Systemspeicher belegt wird

48
Ivan Kovacevic

Sie müssen dies in der Regel nicht blind befolgen. Die Gründe für sicherheitsorientiertere Situationen lauten jedoch wie folgt.

  • Die Option nodev mount gibt an, dass das Dateisystem keine speziellen Geräte enthalten kann: Dies ist eine Sicherheitsmaßnahme. Sie möchten nicht, dass ein für Benutzer zugängliches Dateisystem wie dieses die Möglichkeit hat, Zeichengeräte zu erstellen oder auf zufällige Gerätehardware zuzugreifen.

  • Die Option nosuid mount gibt an, dass das Dateisystem keine festgelegten Benutzer-ID-Dateien enthalten kann. Das Verhindern von Setuid-Binärdateien in einem weltweit beschreibbaren Dateisystem ist sinnvoll, da dort die Gefahr einer Root-Eskalation oder anderer Schrecklichkeit besteht.

Für das, was es wert ist, verwende ich diese Parameter nicht oft ... nur auf öffentlich zugänglichen Systemen, bei denen andere Compliance-Überlegungen bestehen.

39
ewwhite