dev/shm è un filesystem di tipo volatile che assume le sembianze di una memoria ram,utile al sistema per gestire i compiti di memoria condivisa che possono velocizzare l’esecuzione degli applicativi su sistemi Unix.
Il filesystem /dev/shm,di default,consente operazioni di scrittura e di esecuzione di binari.
Questo comportamento è da considerarsi altamente rischioso,motivo per cui andremo a modificare le opzioni di mount di questo filesystem per renderlo più sicuro.
Apriamo il file /etc/fstab (dopo averne effettuato una copia di sicurezza):
# vim /etc/fstab
dove individuiamo la riga che contiene le direttive atte al montaggio di /dev/shm.
tmpfs /dev/shm tmpfs defaults 0 0
modifichiamo la riga appena vista,modificando le opzioni di mount :
nosuid,per impedire che su /dev/shm vengano eseguiti binari con il bit set-user-identifier e set-group-identifier
noexec,per impedire che sul /dev/shm vengano eseguiti file binari
nodev,per impedire che /dev/shm interpreti i device speciali (a blocchi ed a caratteri)
Avremo dunque una configurazione simile alla seguente :
tmpfs /dev/shm tmpfs nosuid,noexec,nodev,rw 0 0
chiudiamo il file /etc/fstab e rimontiamo /dev/shm per rendere operative le modifiche :
# mount -o remount /dev/shm
