Регистрация Войти
Рейтинг:0
Andy85 avatar Ubuntu

Слабость монтирования раздела для /run/snapd/ns/lxd.mnt типа файловой системы nsfs

флаг mx
Andy85

поэтому после сканирования уязвимостей на экземпляре Ubuntu 20.04, над которым я работаю, были обнаружены 2 уязвимости. Одной из них была слабость при монтировании раздела, и доказательством этой уязвимости было то, что в разделе /run/snapd/ns/lxd.mnt не была установлена ​​опция «nodev». Я искал и искал, но я не могу найти решение для этого. Очень мало информации об этом разделе. Единственная информация, которую я нашел, заключается в том, что это точка монтирования пространства имен с типом файловой системы nsfs, который не указан в /proc/filesystems. Мне не удалось найти никакой информации о том, как размонтировать или перемонтировать этот раздел с помощью отредактированного набора параметров «nodev», чтобы устранить эту уязвимость. Любая помощь по этому поводу будет очень признательна.

172
0 + 0
флаг ru
Thomas Ward
Какой сканер уязвимостей? Похоже, для некоторых из них они могут быть «ложными срабатываниями» или «чрезвычайно незначительными» вещами — я вижу это в сканере Rapid 7, но мы не можем развернуть все (конечные пользователи обычно не могут изменить монтирование разделов Snap, или даже сисадмины в какой-то степени)
0
Ответить
Andy85 avatar
флаг mx
Andy85
Да, это сканер уязвимостей Rapid 7.
0
Ответить
флаг ru
Thomas Ward
По моему личному опыту, риск уязвимости «nodev» *низок* и в некоторых случаях может быть проигнорирован. К сожалению, * вы не можете изменить параметры монтирования для петлевых креплений snap *, поэтому это риск монтирования «Не проблема» (петлевые монтирования также заблокированы и не могут быть отредактированы, по крайней мере, LXD в этом случае как таковой). Монтирование nsfs также называют «локальным монтированием» и «петлевым монтированием», потому что они монтируются как петлевые устройства с фиксированными образами.
0
Ответить
Andy85 avatar
флаг mx
Andy85
Интересно. Спасибо за ваше мнение. У вас есть ссылки на документацию по этому вопросу, о которой я могу прочитать? Чтобы я был хорошо информирован, а также располагал некоторой документацией, подтверждающей мое предложение при разговоре с командой безопасности в моей организации о том, чтобы сделать эту уязвимость исключением.
0
Ответить
флаг ru
Thomas Ward
Мне придется копать, но вы также должны сказать своей команде безопасности: «Не все является уязвимостью, которую * нужно * устранить». Я должен сначала просмотреть документацию Rapid7 по «риску» и вернуться к вам.
0
Ответить
Andy85 avatar
флаг mx
Andy85
Хорошо. Спасибо, цените ваше время. Буду также очень признателен, если вы можете предоставить мне документацию.
0
Ответить
Andy85 avatar
флаг mx
Andy85
Итак, я знаю, что я немного усерден с этим, но я добавил эту строку - "tmpfs /run/snapd/ns/lxd.mnt tmpfs defaults,nodev 0 0" в /etc/fstab, сделал перезагрузку и запустил повторное сканирование уязвимостей, и уязвимость PMW исчезла. но теперь точка монтирования имеет тип tmpfs. изменил строку выше в /etc/fstab на «tmpfs /run/snapd/ns/lxd.mnt nsfs defaults,nodev 0 0», но это не вернуло точку монтирования к исходному типу nsfs. Помогает ли что-нибудь из того, что я делаю, в устранении уязвимости или это каким-то образом ломает мою систему?
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.