-
为了增加Linux系统安全性,建议将/tmp目录单独的挂载于一个独立的系统分区之上。但是仅仅挂载还不够,需要在挂载时为该分区指定nodev/nosuid/noexec选项,才能提高tmp文件目录的安全性。
-
nodev挂载选项指定文件系统不能包含特殊设备:这是安全预防措施。您不希望像这样的用户可以在世界范围内访问的文件系统具有创建字符设备或访问随机设备硬件的潜力。
-
nosuid mount选项指定文件系统不能包含已设置的用户ID文件。防止在可全局写入的文件系统上执行setuid二进制文件是有道理的,因为那里存在根升级或其他麻烦的风险。
给加载点加入noexec选项,那么该挂载点里的文件(注意不是目录)即使给了x权限,都不能直接运行。对只存放数据的分区还是稍稍安全了点,不过,虽然不能直接运行,但一样可以通过sh去执行。
举例:
[root@vmtest lvm]# sh /lvm/echo.sh
nodev:
nodev Do not interpret character or block special devices on the file system.
作用:如果在挂载时,添加了nodev选项,那么系统不会把该文件系统里面的 block/character 文件当作是 block/character 文件来处理。
比较有 nodev 挂载选项和没有 nodev 挂载选项的效果。可以看到,加上 nodev 挂载选项之后,尽管这个文件系统存在 block 文件,但也无法从中提取中数据,从而保障了数据安全。
文件系统的 nodev 挂载选项有什么用? – 肥叉烧 feichashao.com