web-dev-qa-db-fra.com

Meilleur moyen de monter / tmp dans fstab?

Quelle est la meilleure façon (les options, ces chiffres à la fin) de monter une partition /tmp dans /etc/fstab en termes de sécurité et vitesse sur un ordinateur ordinateur de burea (ordinateur portable) (lire: non serveur)?

J'ai entendu parler de nosuid, nodev et noexec, mais je ne sais pas ce qu'ils font, comment les utiliser ou même si je devrais les utiliser.

J'utilise btw LVM.

5
Juraj Fiala

La valeur par défaut est juste un répertoire dans le système de fichiers racine.

C’est bien, mais j’ai un ordinateur de bureau, une tonne de RAM et ne redémarre très souvent… Ce qui est la description parfaite de quelqu'un qui pourrait utiliser RAM au lieu de SSD pour la mise en cache de fichiers temporaires ... Le mien est donc monté en tant que disque virtuel tmpfs, défini dans fstab comme:

tmpfs    /tmp    tmpfs    defaults,noatime,mode=1777   0  0

Si vous alimentez beaucoup, cela ne sera évidemment pas une bonne idée pour vous.

Vous avez demandé à un autre — maintenant supprimé — de dire ce que les deux zéros étaient à la fin, c'est traité par une autre réponse mais ils signifient en gros que le système ne se soucie pas de ce qu'il advient de ce système de fichiers en cas de plantage. Il ne videra pas ou ne vérifiera pas les erreurs au démarrage.

noatime n’est là que pour une performance minuscule. Rien de ce que je sache n’a besoin d’auditer les temps d’accès de /tmp afin que je ne me dérange pas de les stocker. Il n'y a rien de dangereux en soi à autoriser des périphériques SUID, exec ou caractère dans /tmp et certaines choses pourraient en avoir besoin .

En termes de sécurité, bien que tout puisse écrire dans /tmp, cela ne signifie pas que tout peut écraser ou même lire des fichiers existants. Si vous avez un fichier d’autorisation go-rw, les autres personnes ne pourront pas le manipuler. Les différents systèmes qui écrivent dans /tmp font déjà des choses pour s'assurer qu'ils ne se heurtent pas sur les noms de fichiers (généralement en ajoutant la variable $USER au nom de fichier).

3
Oli