Я читаю кучу об усилении защиты серверов Linux, и одна из распространенных рекомендаций, которые постоянно появляются, - это защитить разделяемую память.
Во многих статьях, которые я читал, предлагается монтировать общую память с флагами noexec и nodev, и, если возможно, даже монтировать ее как только для чтения.
Я пытаюсь полностью понять, в чем преимущество перевода общей памяти в режим только для чтения. он полностью отключил бы разделяемую память? (если он доступен только для чтения, как первое приложение записывает в память для начала?). Меня особенно беспокоит влияние, которое это может оказать на докеры и кубернеты.