環境
リリース:CentOS7
カーネル: 3.10.0-427.10.1.lve1.4.7.el7.x86_64
。
想像する
/dev/mqueue
これは共有ホスティング環境であり、ちょうど権限があること/dev/shm
を確認しました1777
(ここでは/tmp
これに/var/tmp
焦点を当てません)。
質問
- これはサーバーのセキュリティに脅威になりますか?例えば、システムユーザは、無駄なジャンクディレクトリを占有し、ディスククォータを満たすことができる。
- ディレクトリ全体
/dev
が にマウントされていることを考えるdevtmpfs
と、再起動すると、すべてがディレクトリからフラッシュ/削除されます。 tmpfs
これらとそしての違いは何ですかdevtmpfs
?
現在インストールされている内容は次のとおりです。
Filesystem Size Used Avail Use% Mounted on
/dev/sdi1 148G 730M 140G 1% /
devtmpfs 59G 0 59G 0% /dev
tmpfs 59G 0 59G 0% /dev/shm
tmpfs 59G 4.1G 55G 7% /run
tmpfs 59G 0 59G 0% /sys/fs/cgroup
/dev/sdh1 148G 14G 127G 10% /usr
/dev/sda1 2.0G 269M 1.6G 15% /boot
/dev/sdg1 148G 7.7G 133G 6% /var
/dev/sdd1 148G 468M 140G 1% /tmp
/dev/sdc1 493G 13G 455G 3% /ssd
/dev/sde1 493G 37G 431G 8% /localbkp
/dev/sdf1 8.0T 515G 7.1T 7% /home
tmpfs 12G 0 12G 0% /run/user/0
tmpfs 12G 0 12G 0% /run/user/1242
tmpfs 12G 0 12G 0% /run/user/1507
tmpfs 12G 0 12G 0% /run/user/1812
ありがとうございます。
答え1
これはサーバーのセキュリティに脅威になりますか?例えば、システムユーザは、無駄なジャンクディレクトリを占有し、ディスククォータを満たすことができる。
malloc()
もちろんです。しかし、すでにあまりにも多くの項目でメモリを埋めることができます(はい、可能ですが、ulimit()
プロセス固有の制限です)。ユーザーを互いのメモリ使用量から保護するには、ユーザーを別のコンテナーに入れる必要があります。
ディレクトリ全体
/dev
が にマウントされていることを考えるdevtmpfs
と、再起動すると、すべてがディレクトリからフラッシュ/削除されます。
はい。
tmpfs
これらとそしての違いは何ですかdevtmpfs
?
カーネル文書CONFIG_DEVTMPFS
:
これにより、tmpfsファイルシステムが作成され、起動時に/ devにマウントされます。カーネルドライバコアは、ファイルシステムに登録されているすべてのデバイスのデバイスノードを作成します。すべてのデバイスノードはルートに属し、デフォルトモードは0600です。ユーザースペースは、必要に応じてノードを追加および削除できます。これは、起動を簡素化し、udevがユーザースペースで実行する起動時に初期コールドプラグを遅らせるためです。また、リカバリシステムが動的メジャー/マイナー番号を使用してカーネルを起動するより簡単な方法を提供する必要があります。意味のあるシンボリックリンク、権限、およびデバイスの所有権は、まだユーザースペースで処理する必要があります。