环境
发行版:CentOS7
内核:3.10.0-427.10.1.lve1.4.7.el7.x86_64.
设想
这是一个共享托管环境,我刚刚注意到只有/dev/mqueue和/dev/shm具有1777权限(/tmp而且/var/tmp它们不属于这里的重点)。
问题
- 这会对服务器的安全构成威胁吗?例如,系统用户可能会占用无用垃圾的目录并填满其磁盘配额;
- 鉴于整个
/dev目录都安装在 上devtmpfs,这是否意味着一旦重新启动,所有内容都会从目录中刷新/删除? tmpfs和 和有什么区别devtmpfs?
这是当前安装的内容:
Filesystem Size Used Avail Use% Mounted on
/dev/sdi1 148G 730M 140G 1% /
devtmpfs 59G 0 59G 0% /dev
tmpfs 59G 0 59G 0% /dev/shm
tmpfs 59G 4.1G 55G 7% /run
tmpfs 59G 0 59G 0% /sys/fs/cgroup
/dev/sdh1 148G 14G 127G 10% /usr
/dev/sda1 2.0G 269M 1.6G 15% /boot
/dev/sdg1 148G 7.7G 133G 6% /var
/dev/sdd1 148G 468M 140G 1% /tmp
/dev/sdc1 493G 13G 455G 3% /ssd
/dev/sde1 493G 37G 431G 8% /localbkp
/dev/sdf1 8.0T 515G 7.1T 7% /home
tmpfs 12G 0 12G 0% /run/user/0
tmpfs 12G 0 12G 0% /run/user/1242
tmpfs 12G 0 12G 0% /run/user/1507
tmpfs 12G 0 12G 0% /run/user/1812
谢谢。
答案1
这会对服务器的安全构成威胁吗?例如,系统用户可能会占用无用垃圾的目录并填满其磁盘配额;
malloc()当然可以,但无论如何,它们已经可以通过太多 ing来填满内存(是的,您可以使用ulimit(),但这是每个进程的限制)。如果您想保护用户免受彼此内存使用的影响,则必须将它们放在不同的容器中。
鉴于整个
/dev目录都安装在 上devtmpfs,这是否意味着一旦重新启动,所有内容都会从目录中刷新/删除?
是的。
tmpfs和 和有什么区别devtmpfs?
来自内核的CONFIG_DEVTMPFS文档:
这将创建一个 tmpfs 文件系统,并在启动时安装它并安装在 /dev 处。内核驱动程序核心为该文件系统中的所有注册设备创建设备节点。所有设备节点均属于root,默认模式为0600。用户空间可以根据需要添加和删除节点。这是为了简化启动,并且可以延迟 udev 在用户空间中完成的启动时的初始冷插拔。它还应该为救援系统提供一种更简单的方法来启动具有动态主/次编号的内核。有意义的符号链接、权限和设备所有权仍然必须由用户空间处理。