Лучший способ монтировать /tmp в fstab?

Question

Лучший способ монтировать /tmp в fstab?

Каков наилучший способ (варианты, эти цифры на конце), чтобы смонтировать /tmp разделить в /etc/fstab с точки зрения безопасности и скорости на настольном (портативном) компьютере (читай: не на сервере)?

Я слышал о nosuid, nodev а также noexec, но я понятия не имею, что они делают, как их использовать или даже если бы я их использовал.

Я использую LVM между прочим.

10

partitioning mount fstab tmp

Источник

Juraj Fiala 17 ноя '14 в 11:43

2 ответа

Решение

Я не уверен, но похоже, что в современных версиях Ubuntu редактирование /etc/fstabбольше не работает для /tmp. Теперь, кажется, им управляет systemd, поэтому, чтобы отредактировать его параметры, вы должны отредактировать /etc/systemd/system/tmp.mountфайл. Вы могли бы сделать это с sudo systemctl edit tmp.mount --full. Варианты указаны в Optionsлиния, как Options=mode=1777,relatime,nodev,nosuid,noexec.

1

Источник

madhead 20 фев '22 в 02:53

Другие вопросы по тегам partitioning mount fstab tmp

Oli 18 ноя '14 в 11:39 2014-11-18 11:39 · Accepted Answer · 2014-11-18 11:39

По умолчанию это просто каталог в корневой файловой системе.

Это нормально, но у меня есть рабочий стол, тонна ОЗУ и очень редко перезагрузка... Это идеальное описание того, кто может использовать ОЗУ вместо SSD для кэширования временных файлов... Так что мой смонтирован как tmpfs RAMdisk, определенный в fstab как:

tmpfs    /tmp    tmpfs    defaults,noatime,mode=1777   0  0

Если вы включаете много циклов питания, это, очевидно, не будет хорошей идеей для вас.

Вы спросили другого - теперь удалено - ответ, что это за два ноля на конце, это обрабатывается другим ответом, но они в основном означают, что система не заботится о том, что произойдет с этой файловой системой в случае сбоя. Он не выгрузит и не проверит ошибки на загрузку.

noatime это просто крошечная вещь производительности. Ничего из того, что я знаю, не нуждается в проверке времени доступа /tmp так что я не буду хранить их. Нет ничего изначально опасного в том, чтобы использовать SUID, exec или символьные устройства в /tmp и некоторые вещи могут нуждаться в них.

С точки зрения безопасности, в то время как все может написать в /tmp это не значит, что что-либо может перезаписать или даже прочитать существующие файлы. Если у вас есть файл разрешений go-rw, другие люди не смогут с ним возиться. Различные системы, которые пишут в /tmp уже делать вещи, чтобы убедиться, что они не конфликтуют по именам файлов (как правило, добавляя $USER переменная к имени файла).