我注意到 /proc 和 /dev 在 ubuntu 上的安装方式与其他 Linux 发行版不同,如下所示:
乌本图:
udev on /dev type devtmpfs (rw,nosuid,relatime,size=4079136k,nr_inodes=1019784,mode=755)
proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)
Linux操作系统:
devtmpfs on /dev type devtmpfs (rw,relatime,size=1015576k,nr_inodes=253894,mode=755)
proc on /proc type proc (rw,relatime)
我知道 nosuid 是一个安全选项,用于禁止包含 setuid 标志的文件。但 /proc 不是已经是一个虚拟文件系统了吗?/proc 充当查询内核信息的接口。为什么仍然需要使用诺苏伊德? 与 /dev 类似。
请告诉我。
答案1
一个词。安全。一般来说,你应该只授予足够的权限来完成工作。允许 setuid 在 /proc 中的内容是没有意义的...因此...不要允许它。它唯一可能做的就是创建一个攻击面来利用你的系统。