Пояснення nodev та nosuid у fstab

Я бачу ці два варіанти, які постійно пропонуються в Інтернеті, коли хтось описує, як встановити tmpfs або ramfs. Часто також з noexec, але мене спеціально цікавлять nodev та nosuid. Я в основному ненавиджу лише сліпо повторювати те, що хтось запропонував, без реального розуміння. І оскільки я бачу в мережі лише інструкції з копіювання / вставки, я прошу тут.

Це з документації:
nodev - Не інтерпретуйте блок спеціальних пристроїв у файловій системі.
nosuid - Блокуйте роботу бітів suid та sgid.

Але я хотів би практичного пояснення, що може статися, якщо я вийду з цих двох. Скажімо, я налаштував tmpfs або ramfs (без цих двох згаданих параметрів), який є доступним (читати + записувати) певним (некореневим) користувачем у системі. Що може зробити цей користувач, щоб нашкодити системі? Виключення випадків споживання всієї доступної системної пам'яті у разі рамкових файлів

Вам не доведеться сліпо слідувати цьому, як жорстке правило. Але міркування для більш орієнтованих на безпеку ситуацій полягає в наступному.

• Параметр кріплення nodev вказує, що файлова система не може містити спеціальних пристроїв: Це запобіжна безпека. Ви не хочете, щоб користувальницька файлова система, доступна у всьому світі, мала потенціал для створення символьних пристроїв або доступу до апаратних засобів випадкових пристроїв.

• Параметр кріплення nosuid вказує, що файлова система не може містити встановлені файли userid. Попередження встановлених бінарних файлів у файловій системі, що записується у світі, має сенс, оскільки там існує ризик ескалації кореня чи іншої жахливості.

Для того, що варто, я часто не використовую ці параметри ... лише в системах, що стоять перед громадськістю, де є інші міркування відповідності.