Защитете TMP и TMPFS на CentOS 6

Временни директории като /tmp, /var/tmpи /dev/shmпредлагат платформа за хакери да изпълняват скриптове и програми. Тези злонамерени изпълними файлове се използват за злоупотреба или компрометиране на вашия сървър. В идеалния случай /tmpдиректорията трябва да бъде монтирана на собствен дял с ограничени разрешения.

Това ръководство е за потребители на Vultr, чиято конфигурация на сървъра не включва монтирана /tmpдиректория на собствен дял, което оставя тези директории несигурни и уязвими. Прилагането на това ръководство ще направи изключително трудно за хакерите да използват тези директории.

Забележка: Инсталациите на CentOS по подразбиране не монтират /tmpдиректорията на собствен дял.

Променете към началната директория.

 cd /home

Направете файл в домашната директория с произволно име. Тук използваме 'mntTmp' и създаваме 2GB файл. Можете да коригирате това, за да отговаря на вашите нужди.

 dd if=/dev/zero of=mntTmp bs=1024 count=2000000

Направете разширена файлова система за този файл.

 mkfs.ext4  /home/mntTmp

Архивирайте текущата си /tmpдиректория.

 cp -Rpf /tmp /tmp_backup1

Върнете се в основната директория.

 cd /

Създайте /tmpопция за монтиране, която да се стартира при стартиране, като използвате текстов редактор.

 nano /etc/fstab

Добавете следното в долната част на файла fstab на отделен ред. След това натиснете enter, за да се уверите, че има празен ред под него (празният ред е важен, за да избегнете проблеми при рестартиране).

 /home/mntTmp   /tmp    ext4    loop,nosuid,noexec,nodev,rw 0 0

Забележка: Този монтаж може да се наложи временно да бъде премахнат, когато компилирате или инсталирате софтуер

Дръжте файла отворен, тъй като друг ред ще бъде променен.

CentOS използва временна файлова система (tmpfs) във виртуална памет, наречена "shm". Изглежда монтиран въпреки факта, че не е физическа файлова система. Можем да приложим разрешения за защита на shm. Потърсете реда във файла fstab с tmpfs и /shm. Заменете 'defaults'с 'defaults,nosuid,noexec,nodev'. Запазете файла.

Сега можете да монтирате /tmpфайловата система.

 mount -o loop,nosuid,noexec,nodev /home/mntTmp /tmp

Задайте разрешения за четене, писане, изпълнение.

 chmod 777 /tmp

Проверете за грешки при монтиране с новите настройки за зареждане.

 mount -o remount /tmp

Преместете /tmpархива, който сте създали, обратно в монтираната /tmpфайлова система.

 mv /tmp_backup1/* /tmp/

Премахнете резервното копие, което сте създали.

 rm -Rf /tmp_backup1

Архивиране /var/tmp.

 cp -Rpf var/tmp /tmp_backup2

Премахнете /var/tmpдиректорията.

 rm -Rf /var/tmp

Създайте символична връзка от /var/tmpдо /tmp.

 ln -s /tmp /var/tmp

Копирайте /var/tmpархива в /tmp.

 mv /tmp_backup2/* /tmp/

Премахнете резервното копие.

 rm -Rf /tmp_backup2

По избор

В зависимост от конкретния софтуер, който използвате, може да имате директория "tmp" в домашната директория. Можете да премахнете тази директория и да създадете символна връзка към /tmp. Трябва да се внимава, когато правите това, тъй като това може да повреди софтуера, особено софтуера за уеб хостинг.

 rm -Rf /home/tmp
 ln -s /tmp /home/tmp