跳转至

0063-shm-nodev-确保在/dev/shm分区上设置nodev选项


规则ID

  • 0063-shm-nodev

类别

  • system

级别

  • warn

兼容版本

  • Linux

说明

  • nodev挂载选项指定文件系统不能包含特殊设备。

  • 注意:/dev/shm是由systemd自动挂载的。但即使/dev/shm已经在启动时被挂载,它依然需要在/etc/fstab中 添加挂载选项。

扫描频率

  • 0 */30 * * *

理论基础

  • 因为/dev/shm文件系统并非意在用于支持设备,所以设置此选项以确保用户不能尝试在/dev/shm分区中创建特殊的设备

风险项

  • 黑客渗透

  • 数据泄露

  • 挖矿风险

  • 肉机风险

审计方法

  • 运行如下命令查看是否设置了nodev选项:
# mount | grep -E "\s/dev/shm\s" | grep -v nodev
Nothing should be returned

补救

  • 编辑/etc/fstab文件,将nodev添加到/dev/shm分区挂载选项中的第四个字段。 有关更多信息,请参阅fstab(5)手册页。 执行如下命令重新挂载/dev/shm。
    # mount -o remount,noexec,nodev,nosuid /dev/shm
    

影响

默认值

参考文献

CIS 控制

  • Version 7 5.1建立安全配置 维护所有授权操作系统和软件的文档化、标准的安全配置标准。 13 数据保护 数据保护