環境

環境

環境

リリース:CentOS7 カーネル: 3.10.0-427.10.1.lve1.4.7.el7.x86_64

想像する

/dev/mqueueこれは共有ホスティング環境であり、ちょうど権限があること/dev/shmを確認しました1777(ここでは/tmpこれに/var/tmp焦点を当てません)。

質問

  1. これはサーバーのセキュリティに脅威になりますか?例えば、システムユーザは、無駄なジャンクディレクトリを占有し、ディスククォータを満たすことができる。
  2. ディレクトリ全体/devが にマウントされていることを考えるdevtmpfsと、再起動すると、すべてがディレクトリからフラッシュ/削除されます。
  3. tmpfsこれらとそしての違いは何ですかdevtmpfs

現在インストールされている内容は次のとおりです。

Filesystem      Size  Used Avail Use% Mounted on
/dev/sdi1       148G  730M  140G   1% /
devtmpfs         59G     0   59G   0% /dev
tmpfs            59G     0   59G   0% /dev/shm
tmpfs            59G  4.1G   55G   7% /run
tmpfs            59G     0   59G   0% /sys/fs/cgroup
/dev/sdh1       148G   14G  127G  10% /usr
/dev/sda1       2.0G  269M  1.6G  15% /boot
/dev/sdg1       148G  7.7G  133G   6% /var
/dev/sdd1       148G  468M  140G   1% /tmp
/dev/sdc1       493G   13G  455G   3% /ssd
/dev/sde1       493G   37G  431G   8% /localbkp
/dev/sdf1       8.0T  515G  7.1T   7% /home
tmpfs            12G     0   12G   0% /run/user/0
tmpfs            12G     0   12G   0% /run/user/1242
tmpfs            12G     0   12G   0% /run/user/1507
tmpfs            12G     0   12G   0% /run/user/1812

ありがとうございます。

答え1

これはサーバーのセキュリティに脅威になりますか?例えば、システムユーザは、無駄なジャンクディレクトリを占有し、ディスククォータを満たすことができる。

malloc()もちろんです。しかし、すでにあまりにも多くの項目でメモリを埋めることができます(はい、可能ですが、ulimit()プロセス固有の制限です)。ユーザーを互いのメモリ使用量から保護するには、ユーザーを別のコンテナーに入れる必要があります。

ディレクトリ全体/devが にマウントされていることを考えるdevtmpfsと、再起動すると、すべてがディレクトリからフラッシュ/削除されます。

はい。

tmpfsこれらとそしての違いは何ですかdevtmpfs

カーネル文書CONFIG_DEVTMPFS:

これにより、tmpfsファイルシステムが作成され、起動時に/ devにマウントされます。カーネルドライバコアは、ファイルシステムに登録されているすべてのデバイスのデバイスノードを作成します。すべてのデバイスノードはルートに属し、デフォルトモードは0600です。ユーザースペースは、必要に応じてノードを追加および削除できます。これは、起動を簡素化し、udevがユーザースペースで実行する起動時に初期コールドプラグを遅らせるためです。また、リカバリシステムが動的メジャー/マイナー番号を使用してカーネルを起動するより簡単な方法を提供する必要があります。意味のあるシンボリックリンク、権限、およびデバイスの所有権は、まだユーザースペースで処理する必要があります。

関連情報