Ασφαλίστε τα TMP και TMPFS στο CentOS 6

Προσωρινή καταλόγους, όπως /tmp, /var/tmpκαι /dev/shmνα προσφέρει μια πλατφόρμα για τους χάκερ σενάρια και τα προγράμματα λειτουργίας. Αυτά τα κακόβουλα εκτελέσιμα αρχεία χρησιμοποιούνται για κατάχρηση ή παραβίαση του διακομιστή σας. Στην ιδανική περίπτωση, ο /tmpκατάλογος θα πρέπει να είναι προσαρτημένος στο δικό του διαμέρισμα με περιορισμένα δικαιώματα.

Αυτός ο οδηγός απευθύνεται σε χρήστες του Vultr των οποίων η διαμόρφωση διακομιστή δεν περιλαμβάνει έναν προσαρτημένο /tmpκατάλογο στο δικό του διαμέρισμα, γεγονός που αφήνει αυτούς τους καταλόγους ανασφαλείς και ευάλωτους. Η εφαρμογή αυτού του οδηγού θα καταστήσει εξαιρετικά δύσκολο για τους χάκερ να χρησιμοποιήσουν αυτούς τους καταλόγους.

Σημείωση: Οι προεπιλεγμένες εγκαταστάσεις CentOS δεν προσαρτούν τον /tmpκατάλογο στο δικό του διαμέρισμα.

Αλλαγή στον αρχικό κατάλογο.

 cd /home

Δημιουργήστε ένα αρχείο στον αρχικό κατάλογο με οποιοδήποτε όνομα. Εδώ χρησιμοποιούμε το 'mntTmp' και δημιουργούμε ένα αρχείο 2 GB. Μπορείτε να το προσαρμόσετε ανάλογα με τις ανάγκες σας.

 dd if=/dev/zero of=mntTmp bs=1024 count=2000000

Δημιουργήστε ένα εκτεταμένο σύστημα αρχείων για αυτό το αρχείο.

 mkfs.ext4  /home/mntTmp

Δημιουργήστε αντίγραφα ασφαλείας του τρέχοντος /tmpκαταλόγου σας.

 cp -Rpf /tmp /tmp_backup1

Επιστρέψτε στον βασικό κατάλογο.

 cd /

Δημιουργήστε την /tmpεπιλογή τοποθέτησης για εκτέλεση κατά την εκκίνηση χρησιμοποιώντας ένα πρόγραμμα επεξεργασίας κειμένου.

 nano /etc/fstab

Προσθέστε τα ακόλουθα στο κάτω μέρος του αρχείου fstab σε ξεχωριστή γραμμή. Στη συνέχεια, πατήστε enter για να βεβαιωθείτε ότι υπάρχει μια κενή γραμμή από κάτω (η κενή γραμμή είναι σημαντική για να αποφύγετε προβλήματα κατά την επανεκκίνηση).

 /home/mntTmp   /tmp    ext4    loop,nosuid,noexec,nodev,rw 0 0

Σημείωση: Αυτή η βάση μπορεί να χρειαστεί να αφαιρεθεί προσωρινά κατά τη μεταγλώττιση ή εγκατάσταση λογισμικού

Κρατήστε το αρχείο ανοιχτό καθώς πρόκειται να αλλάξει μια άλλη γραμμή.

Το CentOS χρησιμοποιεί ένα προσωρινό σύστημα αρχείων (tmpfs) στην εικονική μνήμη που ονομάζεται "shm". Φαίνεται προσαρτημένο παρά το γεγονός ότι δεν είναι φυσικό σύστημα αρχείων. Μπορούμε να εφαρμόσουμε δικαιώματα για την ασφάλεια του shm. Αναζητήστε τη γραμμή στο αρχείο fstab με tmpfs και /shm. Αντικαταστήστε 'defaults'με 'defaults,nosuid,noexec,nodev'. Αποθηκεύστε το αρχείο.

Τώρα μπορείτε να προσαρτήσετε το /tmpσύστημα αρχείων.

 mount -o loop,nosuid,noexec,nodev /home/mntTmp /tmp

Ορίστε δικαιώματα ανάγνωσης, εγγραφής, εκτέλεσης.

 chmod 777 /tmp

Ελέγξτε για τυχόν σφάλματα τοποθέτησης με τις νέες ρυθμίσεις εκκίνησης.

 mount -o remount /tmp

Μετακινήστε το /tmpαντίγραφο ασφαλείας που δημιουργήσατε πίσω στο προσαρτημένο /tmpσύστημα αρχείων.

 mv /tmp_backup1/* /tmp/

Καταργήστε το αντίγραφο ασφαλείας που δημιουργήσατε.

 rm -Rf /tmp_backup1

Δημιουργία αντιγράφων ασφαλείας /var/tmp.

 cp -Rpf var/tmp /tmp_backup2

Αφαιρέστε τον /var/tmpκατάλογο.

 rm -Rf /var/tmp

Δημιουργήστε έναν συμβολικό σύνδεσμο από /var/tmpέως /tmp.

 ln -s /tmp /var/tmp

Αντιγράψτε το /var/tmpαντίγραφο ασφαλείας στο /tmp.

 mv /tmp_backup2/* /tmp/

Αφαιρέστε το αντίγραφο ασφαλείας.

 rm -Rf /tmp_backup2

Προαιρετικός

Ανάλογα με το συγκεκριμένο λογισμικό που χρησιμοποιείτε, ενδέχεται να έχετε έναν κατάλογο "tmp" στον αρχικό κατάλογο. Μπορείτε να αφαιρέσετε αυτόν τον κατάλογο και να δημιουργήσετε έναν συμβολικό σύνδεσμο προς το /tmp. Θα πρέπει να δίνετε προσοχή όταν το κάνετε αυτό, καθώς μπορεί να σπάσει το λογισμικό, ιδιαίτερα το λογισμικό φιλοξενίας Ιστού.

 rm -Rf /home/tmp
 ln -s /tmp /home/tmp