Memoria compartida
Por defecto, /dev/shm está montado en modo lectura/escritura, con permisos para ejecutar programas. En los últimos años, muchas listas de correo han notado algunos exploits cuando /dev/shm era usado para atacar otro servicio en funcionamiento, como httpd. La mayoría de estos exploits, sin embargo, se deben a confiar en una aplicación web insegura en lugar de ser una vulnerabilidad en Apache o Ubuntu. Hay unas cuantas razones para montarlo en modo lectura/escritura en configuraciones específicas, tales como una configuracion de tiempo real de un touchpad Synaptic para ordenadores portátiles, pero para servidores e instalaciones de escritorio no hay ningún beneficio al montar /dev/shm en modo lectura/escritura. Para cambiar esta opción, edita el archivo /etc/fstab e inclute la siguiente línea:
tmpfs /dev/shm tmpfs defaults,ro 0 0
Esto montará /dev/shm en modo sólo lectura. Si tienes buenas razones para mantener el permiso de escritura, pon esta linea en el /etc/fstab en vez de la anteriro:
tmpfs /dev/shm tmpfs defaults,noexec,nosuid 0 0
Esto montará /dev/shm en modo escritura, pero sin el permiso de ejecutar programas y sin el permiso de cambiar la UID de los programas en funcionamiento.
Estas opciones tendrán efecto una vez que reincies el sistema, a menos que remontes /dev/shm con el comando
sudo mount -o remount /dev/shm
No hay comentarios:
Publicar un comentario