环境

环境

环境

发行版:CentOS7 内核:3.10.0-427.10.1.lve1.4.7.el7.x86_64.

设想

这是一个共享托管环境,我刚刚注意到只有/dev/mqueue/dev/shm具有1777权限(/tmp而且/var/tmp它们不属于这里的重点)。

问题

  1. 这会对服务器的安全构成威胁吗?例如,系统用户可能会占用无用垃圾的目录并填满其磁盘配额;
  2. 鉴于整个/dev目录都安装在 上devtmpfs,这是否意味着一旦重新启动,所有内容都会从目录中刷新/删除?
  3. tmpfs和 和有什么区别devtmpfs

这是当前安装的内容:

Filesystem      Size  Used Avail Use% Mounted on
/dev/sdi1       148G  730M  140G   1% /
devtmpfs         59G     0   59G   0% /dev
tmpfs            59G     0   59G   0% /dev/shm
tmpfs            59G  4.1G   55G   7% /run
tmpfs            59G     0   59G   0% /sys/fs/cgroup
/dev/sdh1       148G   14G  127G  10% /usr
/dev/sda1       2.0G  269M  1.6G  15% /boot
/dev/sdg1       148G  7.7G  133G   6% /var
/dev/sdd1       148G  468M  140G   1% /tmp
/dev/sdc1       493G   13G  455G   3% /ssd
/dev/sde1       493G   37G  431G   8% /localbkp
/dev/sdf1       8.0T  515G  7.1T   7% /home
tmpfs            12G     0   12G   0% /run/user/0
tmpfs            12G     0   12G   0% /run/user/1242
tmpfs            12G     0   12G   0% /run/user/1507
tmpfs            12G     0   12G   0% /run/user/1812

谢谢。

答案1

这会对服务器的安全构成威胁吗?例如,系统用户可能会占用无用垃圾的目录并填满其磁盘配额;

malloc()当然可以,但无论如何,它们已经可以通过太多 ing来填满内存(是的,您可以使用ulimit(),但这是每个进程的限制)。如果您想保护用户免受彼此内存使用的影响,则必须将它们放在不同的容器中。

鉴于整个/dev目录都安装在 上devtmpfs,这是否意味着一旦重新启动,所有内容都会从目录中刷新/删除?

是的。

tmpfs和 和有什么区别devtmpfs

来自内核的CONFIG_DEVTMPFS文档:

这将创建一个 tmpfs 文件系统,并在启动时安装它并安装在 /dev 处。内核驱动程序核心为该文件系统中的所有注册设备创建设备节点。所有设备节点均属于root,默认模式为0600。用户空间可以根据需要添加和删除节点。这是为了简化启动,并且可以延迟 udev 在用户空间中完成的启动时的初始冷插拔。它还应该为救援系统提供一种更简单的方法来启动具有动态主/次编号的内核。有意义的符号链接、权限和设备所有权仍然必须由用户空间处理。

相关内容